Установка разрешения из командной строки

Утилита командной строки icacls.exe, дешёвая в Windows, разрешает просматривать и изменять папок и разрешения файлов. Cacls — сокращение от Control ACLs — управление перечнями управления доступом.

Для вызова командной строчки введите cmd в окне Выполнить.

Перечень управления доступом (ACL) является списком записей управления доступом (ACE). Любая запись в перечне определяет разрешения и учётную запись, разрешенные, запрещенные либо отслеживаемые для данного пользователя. Дескриптор безопасности для защищаемых объектов может содержать 2 типа перечней управления доступом: DACL (discretionary access control list – контролируемый перечень управления доступом) и SACL (system access control list – системный перечень управления доступом).

Контролируемые перечни управления доступом определяют разрешения, каковые разрешают либо запрещают доступ к защищаемому объекту. В то время, когда процесс пробует получить доступ к защищаемому объекту, совокупность контролирует записи управления доступом в контролируемом перечне управления доступом объекта, дабы выяснить предоставлять ли доступ либо нет. В случае если у объекта нет контролируемого перечня управления доступом, совокупность предоставляет полный доступ для всех. В случае если контролируемый перечень управления доступом не содержит записей управления доступом, совокупность запрещает все попытки доступа к объекту, т.к. контролируемый перечень управления доступом не разрешает никакого доступа. Совокупность контролирует записи управления доступом по порядку пока не отыщет одну либо пара записей, каковые разрешают все запрошенные права доступа, либо до тех пор пока любое из запрошенных прав доступа не не разрещаеться.

Системные перечни управления доступом разрешают администраторам журналировать попытки доступа к защищаемым объектам. Любая запись управления доступом определяет тип попытки доступа по определенному разрешению, что сгенерировал запись в издании событий безопасности. Запись управления доступом в системном перечне управления доступом может сгенерировать записи аудита в то время, когда попытка доступа была успешной, неуспешной либо и в том и другом случае.

Утилита icacls.exe имеет следующий синтаксис (дабы просмотреть его введите icacls.exe /? в командной строчке):

ICACLS name /save aclfile [/T] [/C] [/L] [/Q]

сохраняет перечень управления доступом папок и файлов (DACL), соответствующих имени name, в aclfile для применения с командой /restore. Обратите внимание, что метки SACL целостности и владельца не сохраняются

ICACLS directory [/substitute SidOld SidNew […]] /restore aclfile [/C] [/L] [/Q]

использование сохраненных DACL к файлам в каталоге

ICACLS name /setowner user [/T] [/C] [/L] [/Q]

изменение обладателя всех соответствующих имен. Данный параметр не рекомендован для принудительной смены обладателя; для этих целей направляться применять программу takeown.exe

ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]

поиск всех соответствующих имен, каковые включают в себя ACL, очевидно которые содержат этот SID

ICACLS name /verify [/T] [/C] [/L] [/Q]

поиск всех файлов, чьи ACL не являются каноническими либо протяженность которых не соответствует количеству ACE.

ICACLS name /reset [/T] [/C] [/L] [/Q]

замена ACL унаследованными по умолчанию ACL для всех соответствующих файлов.

ICACLS name [/grant[:r] Sid:разрешение[…]]

/deny Sid:разрешение […]]

/remove[:g|:d]] Sid[…]] [/T] [/C] [/L] [/Q]

[/setintegritylevel level:policy[…]]

/grant[:r] Sid:разрешение – предоставление указанных прав доступа пользователя. При применении параметра :r эти разрешения заменяют каждые ранее предоставленные явные разрешение. В случае если параметр :r не употребляется, разрешения добавляются к любым ранее предоставленным разрешениям.

/deny Sid:разрешение – явный отзыв указанных прав доступа пользователя. ACE явного отзыва добавляется для заявленных разрешений, и любое явное предоставление этих же разрешений удаляется.

/remove[:[g|d]] Sid – удаление всех вхождений SID в ACL. При применении параметра :g удаляются все вхождения предоставленных прав в этом SID. При применении параметра :d удаляются все вхождения отозванных прав в этом SID.

/setintegritylevel [(CI)(OI)] level – явное добавление ACE уровня целостности ко всем соответствующим файлам. Уровень может принимать одно из следующих значений:

  • L[ow] – низкий;
  • M[edium] – средний;
  • H[igh] – большой.

Перед уровнем смогут указываться параметры наследования для ACE целостности, каковые используются лишь к каталогам:

/inheritance:e|d|r

  • e – включение наследования;
  • d – копирование и отключение наследования ACE;
  • r – удаление всех унаследованных ACE.

Примечание:

Идентификаторы SID смогут быть представлены или в числовой форме, или в форме принятого имени. В случае если задана числовая форма, добавьте * в начало SID.

/T – операция выполняется для всех каталогов и соответствующих файлов, расположенных в указанных в имени каталогах.

/C – исполнение операции длится при любых файловых неточностях. Сообщения об неточностях так же, как и прежде выводится на экран.

/L – операция выполняется над самой символической ссылкой, а не над ее целевым объектом.

/Q – команда ICACLS подавляет сообщения об успешном исполнении.

ICACLS сохраняет канонический порядок записей ACE:

  • явные отзывы;
  • явные предоставления;
  • унаследованные отзывы;
  • унаследованные предоставления.

Разрешение – это маска разрешения, которая может задаваться в одной из двух форм:

1. последовательность несложных прав:

  • N (доступ отсутствует) – эквивалентно установке флажков Запретить Полный доступ на вкладке Безопасность.
  • F (полный доступ) – эквивалентно установке флажков Дать добро Полный доступ на вкладке Безопасность.
  • M (доступ на трансформацию) – эквивалентно установке флажков Дать добро Изменение на вкладке Безопасность.
  • RX (доступ на выполнение и чтение) – эквивалентно установке флажков Дать добро выполнение и Чтение на вкладке Безопасность.
  • R (доступ лишь на чтение) – эквивалентно установке флажков Дать добро Чтение на вкладке Безопасность.
  • W (доступ лишь на запись) – эквивалентно установке флажков Дать добро Запись на вкладке Безопасность.
  • D (доступ на удаление) – эквивалентно установке флажков Дать добро Удаление в окне Дополнительно вкладки Безопасность.

2. перечень отдельных прав, поделённый запятыми т заключенный в скобки:

  • DE – удаление
  • RC – чтение
  • WDAC – запись DAC
  • WO – смена обладателя
  • S – синхронизация
  • AS – доступ к безопасности совокупности
  • MA – максимальный
  • GR – неспециализированное чтение
  • GW – неспециализированная запись
  • GE – неспециализированное исполнение
  • GA – все неспециализированные
  • RD – чтение данных, перечисление содержимого папки
  • WD – запись данных, создание файлов
  • AD – добавление данных и положенных каталогов
  • REA – чтение дополнительных атрибутов
  • WEA – запись дополнительных атрибутов
  • X – обзор папок и выполнение файлов
  • DC – удаление положенных объектов
  • RA – чтение атрибутов
  • WA – запись атрибутов

Разрешения второго перечня соответствуют списку разрешений Дополнительных параметров безопасности, каковые возможно открыть, надавив кнопку Дополнительно на вкладке Безопасность окна особенностей.

Права наследования смогут предшествовать любой форме и используются лишь к каталогам:

  • (OI) – наследование объектами
  • (CI) – наследование контейнерами
  • (IO) – лишь наследование
  • (NP) – запрет на распространение наследования
  • (I) – наследование разрешений от родительского контейнера

2. Контрольные вопросы

1. Обрисуйте главные методы упорядочивания объектов в проводнике.

2. Дайте описание понятию Библиотека.

3. Обрисуйте главные настройки Параметров папок.

4. Обрисуйте фундаментальные вкладки особенностей папки.

5. Обрисуйте главные атрибуты папок и файлов.

6. Перечислите машинально установленный комплект разрешений для папок и файлов.

7. Перечислите ключевые принципы установки разрешений.

8. Обрисуйте главные разрешения.

9. Обрисуйте обстоятельства и методы получения доступа к папкам и файлам.

10. Обрисуйте синтаксис утилиты ICACLS.

Задания

1. Откройте папку. Совершите сортировку, фильтрацию и группировку файлов.

2. Создайте библиотеку, включив в нее 2 папки.

3. Настройте отображение всех папок в области переходов.

4. Отобразите системные и скрытые файлы. Продемонстрируйте файл профиля пользователя NTUser.dat.

5. Создайте текстовый файл. Преобразуйте созданный файл в дешёвый лишь для чтения.

6. Настройте права пользователя для файла.

7. Настройте дополнительные разрешения для файла.

8. Смените обладателя файла.

9. При помощи утилиты командной строки:

9.1. Замените все разрешения файла унаследованными по умолчанию.

9.2. Выдайте разрешение пользователю на чтение файла.

9.3. Выдайте пользователю запрет на трансформацию файла.

9.4. Удалите все разрешения данного пользователя.

9.5. Удалите все запреты данного пользователя.

Устанавливаем собственный разрешение экрана Lubuntu (Ubuntu)


Также читать:

Понравилась статья? Поделиться с друзьями: