Wyjaśnij dane wyjściowe ICACLS.EXE, wiersz po wierszu, pozycja po pozycji

Co to znaczy:

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

Myślę, że pierwszy oznacza, że ​​identyfikator użytkownika otrzymuje uprawnienia do modyfikowania katalogu - co oznacza, że ​​użytkownik może tworzyć pliki, aktualizować je lub usuwać. Dobrze? Co to jest użytkownik „NT AUTHORITY \ IUSR”? Czy to naprawdę jeden identyfikator użytkownika? Czy to domyślny identyfikator użytkownika IIS?

ok, druga linia, jak sądzę, odnosi się do grupy. Dostaje te same uprawnienia.

Co z tymi wszystkimi liniami z (I) i (OI) i tak dalej. Proszę wytłumacz.

Z artykułu Microsoft na temat ICACLS

Wpisy to użytkownicy i grupy specyficzne dla tego pliku (DOMAIN \ USER lub GROUP), wymienione uprawnienia są następujące:

Identyfikatory SID mogą mieć postać numeryczną lub przyjazną. Jeśli używasz formy numerycznej, umieść znak wieloznaczny * na początku identyfikatora SID.

icacls zachowuje kanoniczną kolejność wpisów ACE jako:

• Jawne zaprzeczenia
• Wyraźne dotacje
• Odziedziczone zaprzeczenia
• Dziedziczone dotacje

Perm to maska ​​uprawnień, którą można określić w jednej z następujących form:

1. Sekwencja prostych praw:
   • F (pełny dostęp)
   • M (zmodyfikuj dostęp)
   • RX (dostęp do odczytu i wykonania)
   • R (dostęp tylko do odczytu)
   • W (dostęp tylko do zapisu)
2. Lista oddzielona przecinkami w nawiasach szczegółowych praw:
   • D (usuń)
   • RC (kontrola odczytu)
   • WDAC (zapis DAC)
   • WO (napisz właściciel)
   • S (synchronizacja)
   • AS (bezpieczeństwo systemu dostępu)
   • MA (maksimum dozwolone)
   • GR (ogólne czytanie)
   • GW (zapis ogólny)
   • GE (wykonanie ogólne)
   • GA (ogólne wszystkie)
   • RD (czytaj katalog danych / listy)
   • WD (zapis danych / dodaj plik)
   • AD (dodaj podkatalog / dodaj dane)
   • REA (czytaj rozszerzone atrybuty)
   • WEA (napisz rozszerzone atrybuty)
   • X (wykonywanie / przechodzenie)
   • DC (usuń dziecko)
   • RA (odczyt atrybutów)
   • WA (pisz atrybuty)

Prawa spadkowe mogą poprzedzać dowolny formularz Perm i są stosowane tylko do katalogów:

• (OI) : dziedziczenie obiektu
• (CI) : dziedziczenie kontenera
• (IO) : tylko dziedziczenie
• (NP) : nie propaguj dziedziczenia
• (I) : uprawnienie odziedziczone z kontenera nadrzędnego

W przypadku plików maski uprawnień są mniej lub bardziej oczywiste: Roznacza, że ​​można odczytać plik, Xumożliwić jego wykonanie (jako program) i tak dalej.

W przypadku innych rodzajów obiektów będziesz musiał przeglądać MSDN:

• Standardowe prawa dostępu
• Zasady dziedziczenia ACE
• Rejestr
• Usługa
• ...

Prawa spadkowe w języku angielskim:

• (I) „Dziedziczony”: ten wpis został odziedziczony z kontenera nadrzędnego.
• (OI) „Object inherit”: Ta pozycja zostanie odziedziczona przez obiekty umieszczone w tym kontenerze.
• (CI) „Dziedziczenie kontenera”: ten ACE zostanie odziedziczony przez podwykonawców umieszczonych w tym kontenerze.
• (IO)„Tylko dziedziczenie”: ta pozycja ACE zostanie odziedziczona (patrz OIi CI), ale nie dotyczy samego obiektu.
• (NP)„Nie rozmnażaj się”: ta pozycja ACE zostanie odziedziczona przez obiekty i podwykonawców na głębokości jednego poziomu - nie będzie miała zastosowania do rzeczy wewnątrz podwykonawców.

W systemie plików „kontener” oznacza folder, a „obiekt” oznacza plik, ale pamiętaj, że listy ACL można ustawiać na wielu innych obiektach, z których nie wszystkie mają pojęcie „kontenery”.