Come posso consentire agli amministratori di accedere a una cartella senza distruggere le autorizzazioni correnti?

12

Ho una cartella a cui non posso accedere da un account che fa parte del gruppo Administrators su Windows 7.

Se visualizzo la scheda Sicurezza nelle proprietà, vedo "Non hai i permessi per visualizzare o modificare le impostazioni dei permessi di questo oggetto".

Se faccio clic su Avanzate e vado alla scheda del proprietario, mi dice che è "Impossibile visualizzare l'attuale proprietario".

Posso accedere alla cartella riassegnando la proprietà, ma ciò distrugge le autorizzazioni correnti sulla cartella.

Quindi, c'è un modo per dare agli amministratori l'accesso alla cartella senza prendere il controllo e distruggere le autorizzazioni correnti.

windows  permissions 
Nigel Hawkins
fonte
Assumersi la proprietà non (o almeno non dovrebbe) distruggere le autorizzazioni correnti sulla cartella. (L'ho appena provato e ha funzionato come previsto - le autorizzazioni erano invariate.) Per essere al sicuro, potresti preferire utilizzare lo strumento da riga di comando, da togliere, invece degli strumenti della GUI. Questo strumento sicuramente non modificherà le autorizzazioni.
Harry Johnston,
Bene, dopo aver preso la proprietà, non riesco a vedere alcuna autorizzazione tranne l'account che ha appena preso la proprietà. Altre cartelle sembrano comportarsi correttamente. Suppongo sia possibile che la cartella sia stata creata senza alcuna autorizzazione per nessuno o che sia stata eliminata ma sembra strano.
Nigel Hawkins,
Il processo di acquisizione della proprietà non avrebbe dovuto cambiare affatto le autorizzazioni, nemmeno aggiungendo il tuo account. Hai usato lo strumento da riga di comando per la rimozione o la finestra di dialogo Impostazioni di sicurezza avanzate di Explorer?
Harry Johnston,
Ho provato in entrambi i modi. Come ho già detto, altre cartelle sembrano comportarsi correttamente quando il proprietario viene modificato. Sono giunto alla conclusione che non doveva avere permessi per nessuno per cominciare. Quindi sembrava che avesse cancellato tutte le vecchie autorizzazioni quando sono diventato proprietario.
Nigel Hawkins,

Risposte:

12

Alcune ricerche approfondite rivelano che l'assunzione della proprietà a volte distrugge le autorizzazioni esistenti ea volte no. Tutto sembra dipendere dal fatto che tu provi a farlo in modo ricorsivo . Nota che Windows ti avvisa quando sta per sostituire le autorizzazioni esistenti, ma (almeno nella GUI) è molto semplice semplicemente OK il messaggio senza leggerlo o comprenderlo completamente.

Per vederlo, avrai bisogno di una directory (c: \ SomeFolder in questo esempio) che è di proprietà di un altro account utente e a cui tu e il gruppo amministratori avete accesso zero.

Riga di comando

Utilizzando lo strumento "takeown" della riga di comando:

TAKEOWN / A / R / F c: \ SomeFolder

dovresti vedere qualcosa del genere

SUCCESSO: il file (o la cartella) "c: \ SomeFolder" è ora di proprietà del gruppo amministratori.

Non hai i permessi per leggere il contenuto della directory "c: \ SomeFolder"

Vuoi sostituire le autorizzazioni della directory con le autorizzazioni che ti garantiscono il pieno controllo ("Y" per YES, "N" per NO, "C" per CANCEL)?

Nota che se rispondi sì qui, significa davvero sostituire le autorizzazioni. Eventuali autorizzazioni esistenti verranno distrutte. Se rispondi no, non hai ancora le autorizzazioni per la cartella ma ora sei il proprietario, quindi puoi concederti le autorizzazioni normalmente e senza distruggere quelle già esistenti.

Se non si specifica il flag ricorsivo (/ R), non si riceve l'avviso e il proprietario viene modificato senza influire su altre autorizzazioni.

GUI

Dovrai utilizzare la scheda "sicurezza" della finestra delle proprietà per modificare qualsiasi cosa tramite la GUI. Questo ti dà due pulsanti: "continua" e "avanzato". Avanzate ti dà una finestra con le quattro schede: "autorizzazioni", "controllo", "proprietario" e "autorizzazioni effettive". Continua ti dà solo la scheda "proprietario".

Se si seleziona un nuovo proprietario e si seleziona la casella "Applica a sottocartelle", premendo OK o Applica si ottiene una finestra di messaggio "Vuoi sostituire i permessi" che, di nuovo, significa davvero sostituire i permessi. Se non selezioni la casella delle sottocartelle, non ricevi l'avviso e tutto si comporta come previsto.

È molto facile non leggere completamente questa finestra di messaggio, supponiamo che sia solo un'altra finestra che ti chiede di confermare qualcosa di non distruttivo e basta premere invio per OK. È anche molto facile supporre che non potrebbero davvero significare sostituire perché nessuno sano di mente vorrebbe mai farlo.

Nigel Hawkins
fonte
3

Se non sei elencato come "può leggere / modificare le autorizzazioni" nell'ACL della cartella, non puoi cambiarle, indipendentemente da chi o cosa tu sia. Tutti gli utenti, amministratori, incorporati, anchent authority\system , sono trattati allo stesso modo dal codice di sicurezza. (Il privilegio "Assumi proprietà" a livello di sistema è un'eccezione, ma non può neppure modificare l'ACL, ma solo ripristinarlo.)

È necessario eseguire il login come qualcuno che è autorizzato a fare questo, sia direttamente (username + password) oppure - se avete un sacco di tempo libero - facendo qualche SeCreateTokenPrivilege magia .

user1686
fonte
Posso aggiungere tale autorizzazione al gruppo degli amministratori?
Nigel Hawkins,
2
Non è vero. Il proprietario di un file può sempre sia leggere che modificare le autorizzazioni e assumere la proprietà non modifica le autorizzazioni stesse.
Harry Johnston,
1
Inoltre, si noti che un programma in esecuzione come amministratore può leggere le autorizzazioni e la proprietà di qualsiasi file utilizzando il privilegio di backup. MS non ha fornito alcun programma per farlo. :-(
Harry Johnston,
1
Oh, e puoi usare il privilegio di ripristino per cambiare anche le autorizzazioni e la proprietà.
Harry Johnston,
1
@grawity: ho appena ripetuto l'esperimento (utilizzando un ACL che non mi ha concesso l'autorizzazione) e l'ACL non è stato ripristinato quando sono diventato proprietario. Sei sicuro di non pensare alla finestra di dialogo "Fai clic su Continua per accedere in modo permanente a questa cartella", anziché alla finestra di dialogo Proprietario della scheda Sicurezza?
Harry Johnston,
0

È consentito utilizzare la casella di controllo "Sostituisci proprietario su subcontenitori e oggetti" evidenziata in verde. Non è corretto citare in giudizio la casella di controllo "Sostituisci tutte le voci di autorizzazione degli oggetti figlio" evidenziata in rosso. Quest'ultimo sostituirà gli ACL esistenti (permessi) piuttosto che cambiare il proprietario. Finestra di dialogo Sicurezza NTFS

Iconiu
fonte
Suppongo che questa sia una finestra di dialogo di Windows 10? La versione di Windows 7 non ha quella casella di controllo.
Nigel Hawkins,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.