Jak dać administratorom dostęp do folderu bez niszczenia aktualnych uprawnień?

Mam folder, do którego nie mogę uzyskać dostępu z konta należącego do grupy Administratorzy w systemie Windows 7.

Jeśli otworzę kartę Zabezpieczenia we właściwościach, zobaczę „Nie masz uprawnień do przeglądania ani edytowania ustawień uprawnień do tego obiektu”.

Jeśli kliknę przycisk Zaawansowane i przejdę do karty Właściciel, wyświetli się komunikat „Nie można wyświetlić bieżącego właściciela”.

Mogę uzyskać dostęp do folderu poprzez ponowne przypisanie własności, ale to niszczy bieżące uprawnienia do folderu.

Czy istnieje jakiś sposób na udzielenie administratorom dostępu do folderu bez przejęcia kontroli i zniszczenia bieżących uprawnień.

Niektóre staranne kopanie ujawnia, że ​​przejęcie własności czasami niszczy istniejące uprawnienia, a czasem nie. Wszystko wydaje się zależeć od tego, czy spróbujesz to zrobić rekurencyjnie . Zauważ, że Windows ostrzega cię, gdy zamierza zastąpić istniejące uprawnienia, ale (przynajmniej w GUI) bardzo łatwo jest po prostu OK komunikat bez przeczytania lub pełnego zrozumienia.

Aby go zobaczyć, potrzebujesz katalogu (c: \ SomeFolder w tym przykładzie), który jest własnością innego konta użytkownika i do którego ty i grupa administratorów macie zerowy dostęp.

Wiersz poleceń

Za pomocą narzędzia „takeown” z wiersza poleceń:

TAKEOWN / A / R / F c: \ SomeFolder

powinieneś zobaczyć coś takiego

SUKCES: Plik (lub folder) „c: \ SomeFolder” jest teraz własnością grupy administratorów.

Nie masz uprawnień do odczytu zawartości katalogu „c: \ SomeFolder”

Czy chcesz zastąpić uprawnienia do katalogu uprawnieniami, które dają Ci pełną kontrolę („Y” dla TAK, „N” dla NIE, „C” dla ANULUJ)?

Pamiętaj, że jeśli odpowiesz tutaj tak, to naprawdę oznacza zastąpienie uprawnień. Wszelkie istniejące uprawnienia zostaną zniszczone. Jeśli odpowiesz „nie”, nadal nie masz uprawnień do folderu, ale jesteś teraz właścicielem, więc możesz udzielić sobie uprawnień normalnie i bez niszczenia już istniejących.

Jeśli nie określisz flagi rekurencyjnej (/ R), nie pojawi się ostrzeżenie, a właściciel zostanie zmieniony bez wpływu na inne uprawnienia.

GUI

Musisz użyć zakładki „bezpieczeństwo” w oknie właściwości, aby zmienić cokolwiek za pomocą GUI. To daje dwa przyciski: „kontynuuj” i „zaawansowane”. Zaawansowane udostępnia okno z czterema zakładkami: „uprawnienia”, „audyt”, „właściciel” i „uprawnienia efektywne”. Kontynuuj daje tylko kartę „właściciel”.

Jeśli wybierzesz nowego właściciela i zaznaczysz pole „Zastosuj do podfolderów”, naciśnięcie przycisku OK lub Zastosuj spowoduje wyświetlenie okna komunikatu „Czy chcesz zastąpić uprawnienia”, co znowu naprawdę oznacza zastąpienie uprawnień. Jeśli nie zaznaczysz pola podfolderów, nie pojawi się ostrzeżenie i wszystko będzie działać zgodnie z oczekiwaniami.

Bardzo łatwo nie jest w pełni odczytać tego pola wiadomości, załóżmy, że to tylko kolejne okno z prośbą o potwierdzenie czegoś nieniszczącego i wystarczy nacisnąć Enter, aby to OK. Bardzo łatwo jest założyć, że tak naprawdę nie mogą oznaczać zastąpienia, ponieważ nikt przy zdrowych zmysłach nigdy by tego nie chciał.

Jeśli na liście ACL folderu nie ma na liście „uprawnienie do odczytu / zmiany uprawnień”, nie można ich zmienić, bez względu na to, kim lub kim jesteś. Wszyscy użytkownicy, administratorzy, nawet wbudowani nt authority\systemsą traktowani jednakowo przez kod bezpieczeństwa. (Systemowe uprawnienie „Przejęcie na własność” jest wyjątkiem, ale nie może również modyfikować listy ACL, wystarczy ją zresetować).

Musisz zalogować się jako ktoś, kto ma do tego prawo, bezpośrednio (login + hasło) lub - jeśli masz dużo wolnego czasu - wykonując kilka SeCreateTokenPrivilege czary .

Można zaznaczyć pole wyboru „Zastąp właściciela subkontenerów i obiektów” podświetlone na zielono. Pozywanie pola wyboru „Zamień wszystkie wpisy uprawnień do obiektów podrzędnych” podświetlonego na czerwono jest niewłaściwe. Ten ostatni zastąpi istniejące listy ACL (uprawnienia), a nie tylko zmieni właściciela.