Resetowanie uprawnień NTFS na całym dysku

11

Ktoś popełnił błąd podczas ustawiania uprawnień na dysku NTFS i szukam sposobu na zresetowanie wszystkich uprawnień do wartości domyślnych. System operacyjny zostanie ponownie zainstalowany, ale próbuję uratować dane z katalogów użytkowników.

Żadne dane nie są szyfrowane na poziomie FS.

Jakieś zalecenia, jak to osiągnąć?

Andrew Moore
źródło

Odpowiedzi:

16

Jeśli mówisz o dysku, który nie zawiera instalacji systemu Windows, skorzystaj z narzędzi „TAKEOWN” i „ICACLS”:

TAKEOWN /f "X:\" /r /d y
ICACLS "X:\" /reset /T

Następnie możesz zresetować listy ACL do dowolnej wartości.

Jeśli jest to dysk z zainstalowanym systemem operacyjnym Windows 2000, XP lub Server 2003 (nie wiem o Vista w tym przypadku), możesz spróbować ponownie zastosować domyślny szablon zabezpieczeń:

secedit /configure /db secedit.sdb /cfg %SystemRoot%\defltwk.inf /overwrite /verbose

(W przypadku instalacji systemu Windows Server zamień „defltsv.inf” na „defltwk.inf”.)

Evan Anderson
źródło
Możesz dodać te opcje do icalspolecenia: /C(Kontynuuj po błędach pliku) i /Q(pomiń komunikaty o powodzeniu). Komunikaty o błędach będą nadal wyświetlane.
mivk
1
W Win7 x64 dostałem błędy podczas cytowania dysku. W przypadku icacl nie mogłem określić bezpośrednio napędu. Więc musiałem użyć takeown /F X:\ /R /D Yi icacls X:\* /reset /T.
mivk
Wydaje się, że Microsoft zmienił zdanie co do użyteczności (i bezpieczeństwa) secedit przynajmniej do tego zadania. Metoda jest bardzo łatwa w dotykaniu czegokolwiek w AFAICT (sporo kluczy rejestru, ale małe foldery systemowe, może główny Windows). Tak więc pod koniec dnia jedynym wiarygodnym sposobem, jaki znam, jest porównywanie list ACL z innym zaufanym systemem.
mirh
2

Jako alternatywę dla takeown i * cacls możesz użyć SetACL, aby najpierw przejąć na własność każdy plik i katalog na dysku, a następnie ustawić pożądane uprawnienia.

Ustawienie właściciela całego drzewa dla administratorów i włączenie dziedziczenia na obiektach potomnych :

SetACL.exe -on "C:\" -ot file -actn setprot -op "dacl:np;sacl:nc" 
           -rec cont_obj -actn setowner -ownr "n:S-1-5-32-544;s:y"

Dodanie pełnych uprawnień dla administratorów:

SetACL.exe -on "C:\" -ot file -actn ace -ace "n:S-1-5-32-544;s:y;p:full"
Helge Klein
źródło
0

Nie jestem pewien, czy coś takiego istnieje. To powiedziawszy, chyba że tworzysz obraz systemu, system operacyjny może zostać ponownie zainstalowany bez usuwania danych użytkownika, co również poprawi uprawnienia do folderów związanych z systemem operacyjnym. W zależności od rodzaju systemu i tego, który jest dostępny, włóż dysk do innego systemu i usuń dane użytkownika, a następnie wyczyść i zainstaluj ponownie.

Jeff Hengesbach
źródło
0

Nigdy nie słyszałem o niczym, co „zresetuje” uprawnienia do wszystkiego z powrotem do pustej listy, chyba że liczy się „przywracanie z kopii zapasowej”.

Nawet gdyby tak było, musiałby wiedzieć, kto jest właścicielem plików, a także uprawnienia do rejestru i inne informacje identyfikacyjne. Możliwe, że to spieprzy i będziesz mieć system, który zadziałałby dziwnie w przypadkowych momentach, chyba że program miał migawkę stanu maszyny podczas pierwszej instalacji ... w takim przypadku jest to to samo jako kopia zapasowa. Potencjalnie zmieniłbyś uprawnienia i identyfikatory (identyfikatory zabezpieczeń), po prostu dodając użytkowników i instalując system operacyjny w pierwszej kolejności na komputerze, ponieważ Windows miał na liście ACL pewne elementy, które są specyficzne dla instalacji.

Najlepszym rozwiązaniem jest wykonanie kopii zapasowej danych użytkownika, wyczyszczenie dysku i ponowna instalacja przed skopiowaniem danych użytkownika z powrotem do odpowiednich folderów, a następnie wykonanie kopii zapasowej systemu.

Jest to jedna z sytuacji, w których RAID nie pomoże, ale może to zrobić dobra kopia zapasowa (istnieje wielu początkujących administratorów, którzy myślą, że RAID jest kopią zapasową; w tej sytuacji nie pomogłoby!)

Bart Silverstrim
źródło
Chociaż zgadzam się, że nie możesz przywrócić żadnych niestandardowych ustawień zabezpieczeń, możesz ponownie zastosować domyślny szablon zabezpieczeń i wrócić do domyślnych zabezpieczeń systemu operacyjnego.
Evan Anderson,
Czy użycie tego nie mogłoby spowodować problemów, gdyby miał niestandardowe zabezpieczenia za pośrednictwem aplikacji? Z jakiegoś powodu unikam tego, ponieważ może to spowodować nieoczekiwane zachowanie na drodze ... czy to się poprawiło?
Bart Silverstrim,
Jeśli zmodyfikowałeś zabezpieczenia domyślnie, aby dostosować je do oprogramowania, musisz je zmodyfikować po przywróceniu ustawień domyślnych. Moim zdaniem powinno to być „oczekiwane” zachowanie. Jeśli zmienisz coś z domyślnego, a następnie zmienisz z powrotem na domyślny, to z powrotem powróci do domyślnego.
Evan Anderson,
0

Nie widzę sposobu, aby przywrócić sposób, w jaki używali tylko jednego pudełka, ale jeśli masz drugi dostępny, albo jako miejsce zastępcze, albo tymczasowe miejsce postoju (nawet komputer z potężnym HD zrobi to dla temp staging), oto jedno rozwiązanie. Prawdopodobnie są tutaj skróty, ale wolę powolny i drobiazgowy sposób, ponieważ jest mniej podatny na ludzkie błędy.

Załóżmy, że serwer A to serwer z popsutymi uprawnieniami, a serwer B to obszar zastępczy lub tymczasowy obszar przejściowy.

  • Przywróć z ostatniej dobrej kopii zapasowej na serwer B (upewniając się, że wybrałeś przy tym opcję przywrócenia bezpieczeństwa).
  • Na serwerze A ustal, czy możesz uzyskać dostęp do danych.
    • Jeśli nie, przejmij na własność wszystko, za pośrednictwem graficznego interfejsu użytkownika lub wiersza polecenia.
    • Ustal, czy możesz teraz uzyskać dostęp do danych.
    • Jeśli nie, daj sobie pełną kontrolę.
  • Skopiuj dane z serwera A na serwer B za pomocą xcopy / S / E / C / H / R / K / Y. Nie używaj / O, ponieważ spowoduje to zastąpienie przywróconych list ACL.
  • Jeśli jest to serwer zastępczy, gotowe. Jeśli nie, po przebudowaniu serwera A skopiuj go z powrotem z serwera B, tym razem używając xcopy / S / E / C / H / R / K / O / Y (uwaga / 0 jest tutaj).
  • Miej kilka cichych słów w kącie z osobą, która to zrobiła. Kije baseballowe i groźby odwołania ich praw administratora mogą, ale nie muszą być opcjonalne, w zależności od tego, jak się czujesz.
Maximus Minimus
źródło