Erläutern Sie die Ausgabe von ICACLS.EXE Zeile für Zeile, Element für Element

39025
Cheeso

Was bedeutet das: 

C:\foo\> icacls . . NT AUTHORITY\IUSR:(M) BUILTIN\IIS_IUSRS:(M) BUILTIN\IIS_IUSRS:(OI)(CI)(M) NT AUTHORITY\IUSR:(OI)(CI)(M) BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX) NT AUTHORITY\IUSR:(I)(OI)(CI)(RX) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(F)

Ich denke, das erste bedeutet, dass die Benutzer-ID die Berechtigung zum Ändern des Verzeichnisses erhält. Dies bedeutet, dass der Benutzer Dateien erstellen, aktualisieren oder Dateien löschen kann. Recht? Was ist der Benutzer "NT AUTHORITY \ IUSR"? Ist das wirklich eine einzige Benutzer-ID? Ist es die Standard-IIS-Benutzer-ID?

ok, die zweite zeile bezieht sich meiner meinung nach auf eine gruppe. Es erhält die gleichen Berechtigungen.

Was ist mit all diesen Zeilen mit (I) und (OI) und so weiter. Bitte erkläre.

13

1 Antwort auf die Frage

21
MaQleod

Aus dem Microsoft-Artikel zu ICACLS

Die Einträge sind Benutzer und Gruppen, die für diese Datei spezifisch sind (DOMAIN \ USER oder GROUP). Die aufgeführten Berechtigungen lauten wie folgt:

SIDs können entweder in numerischer Form oder in einem Anzeigenamen vorliegen. Wenn Sie ein numerisches Formular verwenden, befestigen Sie das Platzhalterzeichen * am Anfang der SID.

icacls behält die kanonische Reihenfolge der ACE-Einträge bei:

  • Explizite Ablehnungen
  • Explizite Zuschüsse
  • Vererbte Ablehnungen
  • Vererbte Zuschüsse

Perm ist eine Berechtigungsmaske, die in einer der folgenden Formen angegeben werden kann:

  1. Eine Folge von einfachen Rechten:
    • F (voller Zugriff)
    • M (Zugriff ändern)
    • RX (Lese- und Ausführungszugriff)
    • R (Nur-Lese-Zugriff)
    • W (Nur-Schreibzugriff)
  2. Eine durch Kommas getrennte Liste in Klammern mit bestimmten Rechten:
    • D (löschen)
    • RC (Lesesteuerung)
    • WDAC (schreibe DAC)
    • WO (Besitzer schreiben)
    • S (synchronisieren)
    • AS (Zugangssystemsicherheit)
    • MA (maximal erlaubt)
    • GR (generisches Lesen)
    • GW (generisches Schreiben)
    • GE (generische Ausführung)
    • GA (generisch alle)
    • RD (Daten- / Listenverzeichnis lesen)
    • WD (Daten schreiben / Datei hinzufügen)
    • AD (Daten anhängen / Unterverzeichnis hinzufügen)
    • REA (erweiterte Attribute lesen)
    • WEA (erweiterte Attribute schreiben)
    • X (Ausführen / Durchlaufen)
    • DC (Kind löschen)
    • RA (Attribute lesen)
    • WA (Attribute schreiben)

Vererbungsrechte können vor beiden Perm- Formularen stehen und werden nur auf Verzeichnisse angewendet:

  • (OI) : Objekt erben
  • (CI) : Container erben
  • (IO) : nur erben
  • (NP) : Vererben Sie sich nicht
  • (I) : Berechtigung von übergeordnetem Container geerbt

Für Dateien sind die Berechtigungsmasken mehr oder weniger selbsterklärend: RSie können die Datei lesen X, deren Ausführung (als Programm) usw. zulassen.

Für andere Arten von Objekten müssen Sie MSDN durchsuchen:

Erbschaftsrechte in englischer Sprache:

  • (I) "Inherited": Dieser ACE wurde vom übergeordneten Container geerbt.
  • (OI) "Objekt erben": Dieser ACE wird von Objekten vererbt, die in diesem Container abgelegt werden.
  • (CI) "Container-Vererbung": Dieser ACE wird von Untercontainern vererbt, die in diesem Container abgelegt sind.
  • (IO)"Nur erben": Dieser ACE wird vererbt (siehe OIund CI), gilt jedoch nicht für dieses Objekt selbst.
  • (NP)"Nicht weitergeben": Dieser ACE wird von Objekten und Untercontainern auf einer Ebene vererbt. Sie gilt nicht für Elemente in Untercontainern.

Für das Dateisystem bedeutet "Container" einen Ordner und "Objekt" eine Datei. Denken Sie jedoch daran, dass ACLs für viele andere Arten von Objekten festgelegt werden können, von denen nicht alle ein Konzept von "Containern" haben.

Danke dir. Ich bin Google-fähig und kann lesen. Aber ich hätte gerne eine englische Erklärung, was es bedeutet, (I) RX zu haben. "Container erben" - erklären Sie, was das bedeutet und seien Sie spezifisch für das von mir angegebene Beispiel. Cheeso vor 13 Jahren 1
In diesem Fall benötigen Sie einen Absturzkurs in NTFS-Berechtigungen. surfasb vor 13 Jahren 0
Wenn Sie sich mit Google auskennen, können Sie "NTFS-Berechtigungen", "ACL" und "Datei- und Registrierungsberechtigung" auf Google setzen. Ehrlich gesagt, jede Zeile in laienhaften Begriffen zu erklären, bedeutet im Wesentlichen, einen ganzen Technet-Artikel für Sie neu zu schreiben. surfasb vor 13 Jahren 0
@Cheeso: [Besser jetzt?] (Http://superuser.com/posts/322431/revisions) grawity vor 13 Jahren 0
* Ein Jahr später ... * Ja. Viel besser, Danke. Was die anderen anbelangt, die sagen: "Lies es", dafür ist der Superuser da, oder? Um Fragen zu beantworten, die an anderer Stelle nicht eindeutig beantwortet werden. Cheeso vor 12 Jahren 2
Seltsam, dass "(I)" im TechNet-Artikel nicht erwähnt wird. Gibt es eine offizielle (oder halboffizielle) Dokumentation darüber? mwfearnley vor 7 Jahren 0
Tatsächlich fand ich unter (i) in icacls /? `Unter Windows 7 Erwähnung. Es hatte auch zwei getrennte Rechte zum Löschen -` (D) 'war früher in der ersten Liste enthalten, mit `(DE)' statt die zweite Liste. Siehe https://ss64.com/nt/icacls.html. Es sieht so aus, als hätten sich die Dinge seitdem leicht verändert. mwfearnley vor 7 Jahren 0

Verwandte Probleme