Файлы по-прежнему могут быть изменены даже после установки разрешения "Только для чтения" ICACLS. Почему это не работает?
Я являюсь администратором на моем ПК, и на нем есть другие пользователи. Я установил папку (Gabi) как "Только для чтения" для конкретного пользователя (Алиса), используя ICACLS через командную строку (я использую windows 7 в VirtualBox). В папке есть несколько файлов ".txt". Я использовал следующую команду:
icacls "C:\ITSM Lab1\Administration\Gabi" /grant:r Alice:(OI)(CI)R /T
Вышеуказанная команда успешно выполнена в командной строке. Но файлы в папке все еще могут быть изменены (Алиса может изменить текстовый файл и сохранить файл. Он также может переименовать. Он может даже удалить всю папку с файлами).
Я также попробовал эту ссылку: Используйте icacls, чтобы сделать каталог доступным только для чтения в Windows 7. Я перешел по ссылке и попробовал следующую команду:
C:\Windows\system32\Icacls "C:\ITSM Lab1\Administration\Gabi" /deny "Alice": (CI)(OI)(W,D) /Grant:r "Alice":(CI)(OI)R /T
В приведенной выше команде я запретил "писать" и "удалять" для Алисы и дал Алисе разрешение "только для чтения". Эта команда выполнена успешно, но папка "Габи" становится полностью недоступной и не удаляемой, что не соответствует моей цели.
Затем я восстановил Windows 7 до состояния, приведенного выше кода.
Я не знаю, почему команды на самом деле не устанавливают разрешение "только для чтения". На самом деле я хочу установить разрешение таким образом, чтобы Алиса могла читать текстовые файлы, но не смогла изменить / удалить файлы / папку, и он не сможет создать новый файл / папка в папке "Габи". Я только что проверил разрешение для Алисы через GUI (вкладка "Безопасность"): в столбце "Разрешить" отмечена только галочка "Чтение" (других отметок нет). Таким образом, графический интерфейс показывает, что разрешение "только для чтения" применяется к папке Gabi. Но Алиса все еще может изменить и удалить эти файлы и папку. Я не знаю почему.
Что я делаю неправильно?
Перед запуском первой команды icacls "C:\ITSM Lab1\Administration\Gabi" /grant:r Alice:(OI)(CI)R /T
Я выполнил следующую команду:
icacls "C:\ITSM Lab1\Administration\Gabi" /grant Alice:R /T
Когда я запускаю команду:icacls "C:\ITSM Lab1\Administration\Gabi
Я получаю следующий результат:
icacls "C:\ITSM Lab1\Administration\Gabi"
C:\ITSM Lab1\Administration\Gabi Tanvir-PC\Alice:(R)
Tanvir-PC\Alice:(OI)(CI)(R)
Tanvir-PC\Gabi:(OI)(CI)(F)
Tanvir-PC\SysAdministrator:(OI)(CI)(F)
Tanvir-PC\CEO:(OI)(CI)(F)
Tanvir-PC\Managers:(I)(OI)(CI)(N)
Tanvir-PC\SysAdministrator:(I)(OI)(CI)(F)
Tanvir-PC\CEO:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
NT AUTHORITY\Authenticated Users:(I)(M)
NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
Successfully processed 1 files; Failed processing 0 files
ОБНОВИТЬ:
В моей Windows 7 (в VirtualBox) есть 4 локальные группы (которые я создал из командной строки):
администрация
Генеральный директор
Менеджеры
SysAdministrator
У каждой локальной группы есть пользователь (и) (которого я создал из командной строки):
Пользователи в "Администрации": Алиса, Габи
Пользователи в "CEO": главный
Пользователи в "Менеджерах": Энтони, Элиза
Пользователи в "SysAdministrator": Admin
1 ответ
Проблема: пользователю предоставлены дополнительные права
Я хочу установить разрешение таким образом, чтобы Алиса могла читать текстовые файлы, но не смогла изменить / удалить файлы / папку
Для достижения этого результата вашему пользователю должны быть предоставлены только разрешения на чтение NTFS для этой папки. Тот факт, что ваш пользователь все еще может изменять объекты в этой папке, указывает на то, что он получил больше, чем просто разрешение на чтение. NTFS-разрешения являются аддитивными. Поэтому все разрешения, предоставленные пользователю, складываются вместе, чтобы определить, что в конечном итоге может сделать пользователь.
Пользователю могут быть предоставлены разрешения через эти разрешения, предоставляемые непосредственно его пользовательскому объекту, или через разрешения, предоставленные группе, членом которой является пользователь.
По результатам icacls "C:\ITSM Lab1\Administration\Gabi"
Команда, следующие удостоверения имеют (M)odify или (F) все права доступа к папке (я исключил SYSTEM):
- Tanvir-PC \ Gabi: (OI) (CI) (F)
- Tanvir-PC \ SysAdministrator: (OI) (CI) (F)
- Tanvir-PC \ CEO: (OI) (CI) (F)
- Tanvir-PC \ SysAdministrator: (I) (OI) (CI) (F)
- Tanvir-PC \ CEO: (I) (OI) (CI) (F)
- ВСТРОЕНЫ \ Администраторы: (I) (F)
- ВСТРОЕНЫ \ Администраторы: (I) (OI) (CI) (IO) (F)
- NT AUTHORITY \ Аутентифицированные пользователи: (I) (M)
Наиболее очевидная проблема заключается в том, что специальные удостоверенные Аутентифицированные пользователи имеют разрешения на изменение. В эту группу автоматически входят все пользователи с действующей учетной записью на компьютере, в которую будет входить ваш пользователь.
Кроме того, если в этом списке есть другие группы, членом которых является ваш пользователь, то его членство в этих группах также предоставит ему не только разрешения на чтение.
Доступные решения
Либо удалите пользователя из любой группы, которой предоставлено больше, чем разрешение на чтение в папку, либо отмените разрешения этой группы для этой папки.
Если вышеупомянутое не вариант, вы можете запретить вашему пользователю следующие разрешения для папки. Разрешения "Запретить" всегда переопределяют разрешения "Разрешить", поэтому это будет противодействовать любым разрешениям "Разрешить", независимо от того, как они предоставляются:
Разрешения для Deny:
- WD - записать данные / добавить файл
- AD - добавить данные / добавить подкаталог
- WA - написать атрибуты
- DC - удалить ребенка
- DE - удалить
- WEA - написать расширенные атрибуты
Примечание. Использование разрешений "Запретить" обычно является плохой идеей и должно использоваться только в качестве крайней меры.
Лучший способ управлять разрешениями
Обычно необходимо предоставить нескольким пользователям следующие разрешения для папки:
- Читать
- изменять
Наилучшим подходом, который сводит к минимуму работу, связанную с предоставлением / отзывом разрешений пользователям, является использование групп ресурсов. Группа ресурсов - это просто группа, которой предоставлен определенный тип разрешения для объекта. Например, вашей папке потребуются следующие группы:
- r_Gabi-Read (предоставленные разрешения на чтение)
- r_Gabi-Modify (предоставлены права на изменение)
Чтобы изменить права доступа пользователя или группы к объекту, вы просто добавляете / удаляете их из членства в соответствующей группе ресурсов. Это быстрее, чем изменение прав доступа к самому объекту. Кроме того, у него есть явное преимущество, заключающееся в том, что в оснастке MMC "Пользователи и группы Active Directory" (или "Локальные учетные записи" для компьютеров, не входящих в домен) четко указывается, кто к чему имеет доступ.
Эта стратегия требует, чтобы в дополнение к разрешениям, предоставленным группам ресурсов, вы предоставляли только дополнительные разрешения полного доступа для SYSTEM
а также Administrators
идентичностей. Никакие другие разрешения не должны предоставляться на объект.