Gibt es eine Möglichkeit, die "erweiterten Berechtigungen" einer Datei in Windows über die Befehlszeile zu ändern?

401
Mike Z

Also nur zur Klarstellung: Ich möchte die erweiterte Berechtigung mit dem Namen "Change permissions" entfernen, denn selbst wenn Sie Berechtigungen aus einer Gruppe entfernen (in diesem Fall Administratoren) icacls, während niemand in der Gruppe die Zieldatei bearbeiten oder löschen kann geht nach wie vor in Dateieigenschaften und bearbeiten kann die Berechtigungen selbst zurück zu geben Voll oder ändern oder Dingsbums.

Ich möchte nicht bei Fragen wie "Warum möchten Sie diese Berechtigungen von den Administratoren des Computers entfernen?" Es genügt also zu sagen, dass ich SYSTEM mit Full Control verlassen habe und alles, was ich brauche, über einen Dienst verwaltet, der als LOCAL SYSTEM ausgeführt wird. Im Grunde gibt es immer noch Zugriff auf die Datei, aber auf die Art und Weise, wie auf sie zugegriffen werden muss.

Ich kann in der iCaclsSyntax einfach nichts finden, was es mir erlaubt, die Berechtigungen für "Erweitert" zu ändern , wo sich das Element "Änderungsberechtigungen" befindet.

0
"Wenn Sie Berechtigungen aus einer Gruppe entfernen (in diesem Fall Administratoren)", können Administratoren immer etwas widerrufen, das von einem Administrator festgelegt wurde. Deshalb heißen sie Administratoren! ;) DavidPostill vor 5 Jahren 1

1 Antwort auf die Frage

2
grawity

Ja, es ist genau dort im icacls /?Hilfebildschirm:

 perm ist eine Berechtigungsmaske und kann in einer von zwei Formen angegeben werden: eine Abfolge einfacher Rechte: [...] eine durch Kommas getrennte Liste in Klammern bestimmter Rechte: DE - löschen RC - Lesesteuerung WDAC - Schreibe DAC WO - Besitzer schreiben S - synchronisieren AS - Zugangssystemsicherheit MA - maximal erlaubt GR - generisches Lesen GW - generisches Schreiben GE - generische Ausführung GA - generisch alle RD - Daten- / Listenverzeichnis lesen WD - Daten schreiben / Datei hinzufügen AD - Daten anhängen / Unterverzeichnis hinzufügen REA - Erweiterte Attribute lesen WEA - erweiterte Attribute schreiben X - Ausführen / Durchlaufen DC - Kind löschen RA - Attribute lesen WA - Attribute schreiben Erbrechte können beiden Formen vorausgehen und angewandt werden nur zu Verzeichnissen: (OI) - Objekt erben (CI) - Container erben (IO) - nur erben (NP) - Vererben Sie sich nicht (I) - Berechtigung vom übergeordneten Container geerbt

Dies sind die generischen Namen für alle "erweiterten" Berechtigungen, die Sie sehen. "Berechtigungen ändern" wird als "Schreibe DAC" bezeichnet, da man damit die Discretionary Access Control List schreiben oder ändern kann.

Die enthaltenen Beispiele erwähnen ausdrücklich diese Erlaubnis:

 icacls file / grant Administrator: (D, WDAC) - Gewährt dem Benutzer Administrator DAC zum Löschen und Schreiben Berechtigungen für die Datei.  icacls file / grant * S-1-1-0: (D, WDAC) - Erlaubt dem Benutzer, definiert durch sid S-1-1-0 Delete und Schreiben Sie DAC-Berechtigungen in eine Datei.

Sie können das Gegenteil des obigen Beispiels /denyausführen und ihnen explizit die WDAC-Berechtigung geben.

Denken Sie jedoch daran, dass das Berechtigungsschema zwei Sicherheitsnetze hat:

  • Der Besitzer der Datei kann seine Berechtigungen jederzeit ändern, wobei alle Berechtigungseinträge "Schreib-DAC verweigern" umgangen werden. Wenn Sie nicht möchten, dass Administratoren sich zusätzliche Berechtigungen erteilen können, müssen Sie sicherstellen, dass die Datei nicht den Administratoren gehört (z. B. setzen Sie den Eigentümer auf SYSTEM).

  • Administratoren wird SeTakeOwnershipPrivilege erteilt und können jederzeit den Besitz einer Datei ändern. Dabei werden alle Berechtigungseinträge "Schreibeigentümer verweigern" umgangen. Wenn Sie nicht möchten, dass Administratoren dies tun können ... Nun, sie sind Administratoren, sie besitzen bereits das gesamte System.

Verwandte Probleme