Jak ustawić rekursywnie uprawnienia do plików / opcje zabezpieczeń systemu Windows?

0

W jakiś sposób sparaliżowałem moje ustawienia zabezpieczeń w folderze C: (root) w systemie Windows 10. Pozostali sparaliżowani nawet po ponownej instalacji w miejscu i nieco spartaczeni po ponownej pełnej instalacji. Teraz, jeśli dodam folder do C: w wierszu polecenia (użytkownika) otrzymuję „odmowę dostępu”, ale z Eksploratora Windows otrzymuję cztery kopie. To dziwne, ale prawdziwe. Oto zrzut ekranu:

ScreenShot

Nie wiem, jak prawidłowo zresetować te ustawienia zabezpieczeń, chociaż mam przykłady z innej maszyny wirtualnej, co do tego, jakie powinny być. Eksperymentowanie przy użyciu informacji o właściwościach zabezpieczeń Eksploratora Windows na maszynie wirtualnej wydaje się być stosowane rekursywnie.

Nie próbowałem użyć komendy icacls, ponieważ rzadka dokumentacja na ten temat tak naprawdę nie wyjaśnia, co naprawdę robią opcje. Z dokumentacji nie wynika jasno, czy i czy to polecenie odnosi się do właściwości zabezpieczeń.

Więc jakiej procedury używam, aby zaktualizować uprawnienia do folderu C: (root), ale tylko uprawnienia tego folderu?

windows-10 security file-permissions icacls FNE
źródło
1
Nie jest jasne, jaki jest twój problem lub czy zmiana uprawnień go naprawi lub pogorszy. Próba utworzenia folderu w C: z nieadministracyjnego wiersza poleceń zakończy się niepowodzeniem i tak powinno być. Utworzenie folderu z Eksploratora nie spowoduje utworzenia „czterech folderów”, więc nie jest to problem z uprawnieniami. Uprawnienia są dziedziczone i tak też powinno być. Próba zmiany uprawnień na poziomie root to przepis na katastrofę.
Appleoddity
Próba utworzenia folderu w C: z nieadministracyjnego wiersza poleceń zakończy się niepowodzeniem ... to nieprawda. Domyślne uprawnienia w katalogu głównym woluminów zapewniają uwierzytelnionym użytkownikom uprawnienia do tworzenia katalogów, ale nie plików.
Twisty Impersonator
Zgadzam się, że nie jest jasne, jaki jest mój problem. Dodałem zrzut ekranu, aby pokazać aktualne uprawnienia. Zawarłem również polecenie konsoli pokazujące odmowę dostępu, a wynik JEDNEGO dodania nowego folderu. Chcę naprawić ten folder główny przed próbą wyczyszczenia podfolderów, ponieważ wydaje się, że śmieci się rozprzestrzeniają. Nie wiem, dlaczego te zmieszane atrybuty bezpieczeństwa nie zostały naprawione przez pełną ponowną instalację.
FNE
@TwistyImpersonator ma rację, jesteś moim przyjacielem. Mój błąd.
Appleoddity
Zacznij od usunięcia wszystkich uprawnień Odmów. Oni tam nie należą.
Twisty Impersonator

Odpowiedzi:

0

Twój zrzut ekranu pokazuje liczbę Zaprzeczać wpisy. Usuń je. Nie są częścią domyślnych uprawnień do katalogu głównego woluminu iz pewnością powodują problemy.

Dla Twojej wygody, tutaj są domyślne uprawnienia do katalogu głównego woluminu rozruchowego w systemie Windows 10:

Default NTFS permissions on the root of C:

Spróbuj uzyskać odpowiednie uprawnienia, aby je dopasować.

Edytuj: Więcej szczegółów na temat wprowadzania tych zmian.

Uwaga: W folderze głównym NIGDY nie klikaj propagujących zmian do wszystkich podfolderów. Wiele podfolderów otrzymało różne atrybuty bezpieczeństwa, których nie chcesz zmieniać.

Ostrzeżenie: Upewnij się, że masz plan tworzenia kopii zapasowych na wypadek niepowodzenia tej procedury. Może być konieczna ponowna instalacja, jeśli coś pójdzie nie tak.

1) Aby zmienić uprawnienia, musisz przejąć na własność. Kliknij zmianę niebieską dla właściciela i zmień właściciela na administratorów. Dotyczy to również ochrony: nawet administratorzy nie mogą modyfikować niektórych podfolderów.

2) Usuń Zaprzeczać wpisy.

3) W przypadku wpisów, które zamierzasz zachować, upewnij się, że ich uprawnienia są ustawione prawidłowo, korzystając z menu zaawansowanego. W przypadku systemu Windows 10 musisz zaktualizować Zarówno podstawowe, jak i zaawansowane ustawienia. Właściwe ustawienia są opisane poniżej.

4) Usuń pozostałe wpisy.

5) Zastosuj zmiany i skrzyżuj palce. Powinieneś otrzymać ostrzeżenia, że ​​twoje zmiany nie rozprzestrzeniły się do niektórych podfolderów należących do Windows i swapfile.sys.

6) Zmień właściciela z powrotem na TrustedInstaller, którego rzeczywista nazwa to „NT Service TrustedInstaller”.

Szczegóły uprawnień:

Administratorzy, Pełna kontrola, Ten folder, podfoldery i pliki 

Full control: All boxes in basic and advanced permissions should be checked.

SYSTEM, Pełna kontrola, Ten folder, podfoldery i pliki 

Full control: All boxes in basic and advanced permissions should be checked.

Użytkownicy, przeczytaj i amp; excute, tylko podfoldery i pliki 

Basic: Only Read&execute, List folder contents, Read
Advanced: Only
    Traverse folder / execute file
    List folder / read data
    Read attributes
    Read extended attributes
    Read permissions

Tylko uwierzytelnieni użytkownicy, modyfikuj, podfoldery i pliki 

Basic: Only Modify, Read&execute, List folder contents, Read, Write
Advanced: Only
    Traverse folder / execute file
    List folder / read data
    Read attributes
    Read extended attributes
    Create files / write data
    Create folders / append data
    Write attributes
    Write extended attributes
    Delete
    Read permissions

Użytkownicy uwierzytelnieni, Twórz foldery / dołączaj dane, tylko ten folder 

Basic: NONE
Advanced: Only Create folders / append data
Twisty Impersonator
źródło
Dziękuję, to jest prawie to, co zrobiłem. Brakuje pewnych szczegółów, przestróg i informacji, które dodam. To jest moja zaakceptowana odpowiedź, nie mam wystarczającej liczby punktów reputacji, żeby się liczyć.
FNE
Możesz edytować moją odpowiedź, która jest zachęcana na tej stronie. Możesz również użyć zielonego znacznika wyboru, aby wskazać, że jest to zaakceptowana odpowiedź. Aby tego dokonać, nie potrzebujesz reputacji.
Twisty Impersonator
W ramach dużej ostrożności pozostawiłem wpis TrustedInstaller, który daje pełną kontrolę tylko nad tym plikiem (głównym). Wszystkie inne dodatkowe wpisy zostały usunięte. Mój plan tworzenia kopii zapasowych polegał na ponownym sformatowaniu dysku i ponownej instalacji.
FNE
0

W tej chwili mam dostęp tylko do komputera z systemem Windows 7 Pro, ale widziałem, że to samo w późniejszych wersjach systemu Windows (ale należy pamiętać, że interfejs użytkownika może się nieznacznie różnić):

Zaawansowane okno dialogowe zmiany uprawnień oferuje rozwijane pole w jego górnym obszarze, oferujące możliwość zastosowania uprawnień do this folder, subfolders and files, files only i tak dalej.

Ponadto w dolnej części tego okna dialogowego znajduje się pole wyboru zatytułowane Apply these permissions to objects and/or containers within this container only.

Na poniższym zrzucie ekranu możesz zobaczyć, co mam na myśli:

Advanced Windows 7 Pro permission dialog

Niestety, musisz spojrzeć na problem z perspektywy dziecko foldery. Na przykład, jeśli masz folder c:\parent\childi child folder już dziedziczy uprawnienia z parent folder i chcesz różnych uprawnień w parent i child folderów, musisz najpierw wyłączyć dziedziczenie uprawnień dla child teczka.

Możesz to zrobić w następującym miejscu (zaznacz pole wyboru oznaczone Include inheritable permissions from this object's parent ):

enter image description here

Mam nadzieję, że to odpowie na twoje pytanie.

Binarus
źródło
Chociaż wygląda to obiecująco, nie działa zgodnie z oczekiwaniami. Jako eksperyment na maszynie wirtualnej Win10, dałem Użytkownikom pełne uprawnienia, sprawdzając to pole. Chociaż uprawnienia nie zmieniły się w podfolderach, administratorowi nie wolno było ich zmieniać zrobił zmiana w innych podfolderach. Otrzymałem ten sam efekt, dodając twórcę OWNER do uprawnień roota.
FNE