Di solito si riferiamo alle liste di controllo accessi in inglese Acronyms in inglese, cioè come elenco di controllo di accesso ACLO. Gli ACL non sono privi di tabelle che raccontano il sistema operativo, che cosa o chi è il permesso di accedere a un oggetto specifico e sono le partizioni esclusive di formazione NTFS. Tutte queste autorizzazioni possono essere modificate con il comando “CACLS”. In questo articolo vedremo come farlo e definiremo quali oggetti e / ocontener possiamo applicare questi permessi.
Descrittori di sicurezza e ACL
Qualsiasi oggetto in un NTUCLEUS di WindowsCON NT e su un file system NTFS ha associato le alimentazioni di sicurezza memorizzate nella sicurezza chiamata Descrittori. In un descrittore di sicurezza ristagnato chi è il proprietario dell’oggetto e quale gruppo di UsersperRenece, nonché chi ha accesso all’oggetto e a che tipo di autorizzazioni hanno accesso. Queste autorizzazioni vengono salvate in chiamate ACLS (in inglese, elenco di controllo accessi) o elenchi di controllo degli accessi.
In linea di principio, i descrittori di desenità non sono memorizzati specificamente in qualsiasi cartella. Sono metadati focalizzati nell’RFT. Santo, non possiamo accedere direttamente a questi descrittori o modificarli (direttamente). È ora che possiamo ottenere è quello di vederti crittografato nel registro di Dewindows. Ad esempio: accediamo con un account amministratore e siamo a casa > Esegui e scrivi Regedit.si Vela alla chiave che appare nell’immagine, vedremo il valore di sicurezza. Questa è la descrizione Desegarità associata al servizio “Record eventi”.
Ma usando la GUI o utilizzando il comando Cacls possiamo modificarli.
ICLS
Il comando CaCLS È responsabile della gestione dei suddetti elenchi di controllo degli accessi (ONWARDACL). Esistono due tipi di ACL: DACL e SACL. Diamo un’occhiata brevemente ognuno:
DACL: Gli acronimi di “Elenco discrezionale di controllo degli accessi”, ESDECIR, elenco discrezionale di Deessing. In è memorizzato il Permessi di accesso all’oggetto e raddrizzato dal proprietario di detto oggetto.
sacco: sono l’acronimo per “elenco di controllo accessi al sistema” o elenco di controllo di accesso al sistema. È correlato alle azioni che saranno controllate dal sistema.
Un ACL contiene un ACE (o “Access Control Entry”, voce Decontrol di accesso che indica quali autorizzazioni hanno ciascun utente. Quello è, un asso per ogni utente o gruppo. Le autorizzazioni sono assegnate come consentite (consentono) che negative (Deniega). Come vedremo, le autorizzazioni si trovano in Unaacl negativo e poi Losnegativo. Come possiamo vederlo visivamente?
Per vederli dobbiamo accedere alla scheda “SE GURY “CHE VENA A VISUALIZZA Quando fai clic su una cartella Oarchive. In questa FAQ numero 6 ci sono informazioni su come includere quella scheda in Windows XP. Se clicciamo su Recenco su Unacarpet e scegli proprietà e quindi la scheda “Sicurezza”, vedremo che i diversi utenti e autorizzazioni che hanno su detta cartella sono in questa finestra, tuttavia, non vedremo più di un riepilogo dei diversi quelli, essendo questi sempre più complessi. Per vederli, lo faremo con inaccesi:
se accettiamo con un utente limitato e noi Creare una cartella con il nome che vogliamo e nella posizione che vogliamo. Adecizzeremo l’accesso dell’utente dell’amministratore a quella cartella (negazione che, per favore, l’indirizzo potrebbe quindi rimuovere …). Fare clic con il tasto destro del mouse sulla cartella > Proprietà > Sicurezza e vediamo lì l’utente dell’amministratore. Per rimuovere le autorizzazioni, PCACH in merito alle “opzioni avanzate” e deselezioniamo ereditare l’oggetto principale relativo agli oggetti secondari. Quindi torniamo alla finestra precedente e selezioniamo l’utente somministrato e poi sulle caselle QuaHay sotto “Denar”. Apparirà il seguente messaggio:
in piedi una denagazione di autorizzazioni di autorizzazioni. Ingressi di negare la precedenza sulle voci di autorizzazione. Ciò significa che se un membro di due gruppi, uno che viene dato un permesso e un altro a cui lo nega, l’utente viene negato l’utente. Vuoi continuare ?
clicca su “Accetta” e rimuoveremo le autorizzazioni di accesso.Come afferma chiaramente il messaggio, Denial Los esegue la precedenza sulle autorizzazioni. Ora vediamo quella precedenza. Se torniamo a “opzioni avanzate” vedremo che le autorizzazioni “Denar” e sotto il “Consenti” titolate “non specificano altri tipi di autorizzazioni, apparirà” Controllo completo “, ma apparirà” Controllo completo “, ma Silos Specés lo vedremo Ci sono più permessi concreti che appaiono in generale delicato.
Queste sono le autorizzazioni su un DACL. Come accennato in un Sacl, gli spettacoli da verificare dal sistema sono contenuti. Questa funzione non è disponibile in XP Home e possiamo farlo solo nel Prof. Parallo, accediamo la scheda “Sicurezza” e quindi fare clic su “OpzioniAvantiAnzadas”. Vedremo che una delle schede visualizzate è audit, cioè il contenuto del sacl.
il comando cacls
come noi Ho detto che gli ACL determinano che gli utenti o i gruppi di utenti possono accedere a un oggetto specifico ed è una caratteristica esclusiva dei file dei file.
Infatti questo comando può semplificare le autorizzazioni di biogramma piuttosto utilizzando script automatici che è possibile inviare questi ACL e il suo utilizzo è possibile su qualsiasi sistema con NT Nucleo, cioè, cioè che possiamo usarlo sia XP Home e XP Prof.
Dobbiamo ricordare che la professione di Windows 2000 e Windows XP prenderà un editor ACL a cui possiamo accedere facendo clic su BotonderoCho nella cartella o sui file di cui Formises Vogliamo modificare, fare clic su Proprietà e nella nuova casella Deddiago, selezionando la scheda “Sicurezza”.
Con calcs, d’altra parte, non è necessario fare nulla di ulteriore funzionale sia in entrambe le home di Winxp sia nel prof, semplificando notevolmente l’assegnazione Attività permessi su utenti, contenitori o oggetti. Queste comunità sono in realtà equivalenti ai comandi CHMOD e shoto di Linux, che servono, rispettivamente, per variare le autorizzazioni di cartelle e file e modificare il proprietario di Thuscarpetas.
Quando viene creato un oggetto o un file, in genere eredita le autorizzazioni predefinite della cartella o del contenitore in cui viene creata dall’improvvisare il processo di amministrazione sugli oggetti contenuti in esso. Le autorizzazioni di base autorizzano a stabilire in qualsiasi Nucleo Nucleus NT, sono le seguenti:
Autorizzazioni
Leggi. Abilita un utente o un gruppo di gruppi di detriti di vedere i file e le sottocartelle contenute nel Principal.
Scrivi. Abilita un utente di creare il file YsubCard, modificare gli attributi e visualizzare il proprietario e le autorizzazioni sulla cartella nonché per modificare il contenuto del file OCARTIC
Mostra contenuto della cartella. Questo tipo di autorizzazione, consente di vedere il contenuto di UnaCchipe e per viaggiare la sua struttura di directory o eseguire i file che hanno il saggio, consente inoltre di leggere gli attributi del file in questione e dare il contenuto dello stesso
Lettura ed esecuzione. Questo tipo di permesso combina i diritti concessi da autorizzazioni “Leggi” e “mostrano il contenuto di una cartella”, cioè che i permessi concessi rappresentare sarebbe simile a quelli che abbiamo commentato in precedenza per il contenuto della mostra. L’unica differenza tra questo tipo di autorizzazione per mostrare il contenuto consiste in come i permessi sono ereditati. Nel caso di lettura ed esecuzione, le autorizzazioni sono ereditate da tutte le directory e file contenuti nella cartella in cui viene applicato il permesso di lettura e dell’esecuzione. Nel caso di mostrare il contenuto della cartella, le autorizzazioni sono ereditate solo sulle cartelle create.
modifica. Questa è una delle autorizzazioni che aumentano la cartella o i file in cui è applicato in quanto consente a tutti e ciascuna delle autorizzazioni spiegate sopra tranne che prendendo possesso ed eliminazioni e file e modificando i Los Perpermises, poiché questi possono essere estratti solo da Il permesso di controllo totale.
Controllo totale. Assenico Questo permesso, diciamo che comprende tutti quelli descritti in precedenza il controllo totale su cui è concesso, compresa la possibilità di assumere volte. Di chi è stato definito il processo delle nostre Domande frequenti e che di solito è una caratteristica esclusiva del gruppo dei dipentori.
il concetto di prendere possesso spazioso, se lo capiamo Il sistema delle autorizzazioni NTFS ricorda il proprietario del file.Pertanto, per le cartelle che contengono i profili desutili nei documenti e nelle impostazioni, l’utente è sempre l’utente i cui file sono contenuti in tali carpetas ed è il controllo totale predefinito, supera i file e le cartelle, quindi per impostazione predefinita è sempre possibile modificare i siercemises per negare Accesso ad altri utenti. Quando un altro utente prende possesso di una cartella significativa presuppone la proprietà della cartella e il contenuto di esso, se amiamo nel processo di possesso. È descritto in questo numero di domande frequenti 7.
Il Dim Color Tenu che possiamo vedere quando si accede alla sicurezza della sicurezza della sicurezza in questione è stato ereditato il principale incontento , possiamo disattivarlo, semplicemente piastrellando l’opzione opposta o wellrealing delle modifiche nel contenitore principale, che applicherà le autorizzazioni a tutti i contenuti della cartella.
Per impostazione predefinita, queste autorizzazioni possono essere applicate a utenti specifici e specifico il nostro sistema o su gruppi di utenti. In Windows XP, è definita qualsiasi serie di utenti per impostazione predefinita, quali sono i seguenti:
Gruppi di utenti
Utenti
Questo gruppo è quello che la maggior parte delle restrizioni impone il sistema Enel ma con il quale è il lavoro più sicuro. Il Gruppo Utenti non consente di modificare il registro o modificare i file di sistema o i file di programma, nella pratica presuppone che non possano essere in grado di utilizzare il software. Sebbene abbia il pieno controllo, sui file che credono e sulla ramo del registro di sistema, HKEY_CURRENT_USER, sono inoltre autorizzati a disattivare ELPC.
in pratica è qualcosa di ingombrante per lavorare tipo utente poiché non consente l’esecuzione di una moltitudine di software a Windows XP che non supportano le nuove NTF e le autorizzazioni standard Per le versioni precedenti di questo sistema operativo.
Utenti
Questo gruppo impone meno restrizioni che gestisci gli utenti ma più degli amministratori. Diciamo che è a Mediazino tra entrambi i gruppi. In realtà, molti dei problemi delle restrizioni che vengono forniti durante l’esecuzione del software sul nostro team, l’uso di questo tipo di utente è stato risolto. Gli utenti avanzati possono, a portata di distanza, eseguire applicazioni progettate per i sistemi operativi con nucleo nucleo a Windows 2000. Servizi di avvio e arresto diversi dalle basi e quelli che vengono avviati per impostazione predefinita con il sistema operativo, installare qualsiasi programma che non modifica i file di sistema operativi e insegnare ai dati dal gruppo di utenti, a meno che non ricevano ripetutamente l’autorizzazione di accesso ai propri file.
operatori backup backup
utenti utilizzati per creare e ripristinare Copie di backup e le cui azioni vengono applicate dipendenti dal sistema di autorizzazione specificato nel sistema. Questi utenti possono avviare sul nostro sistema e anche spegnerlo.
Amministratori
Questo è quello che le migliori sovvenzioni nel sistema e dovrebbero essere utilizzate solo per il Compiti specifici ad esempio, ad esempio: Installazione dei componenti del sistema operativo, IE, driver, servizi, aggiornamenti e service pack, riparazione del sistema operativo, amministrazione di audit e controllo delle registrazioni su contenitori e oggetti e amministrazione dei gruppi di detriti.
Gli ospiti
Gli utenti che gli utenti appartenenti a questo gruppo hanno le stesse autorizzazioni del gruppo di utenti ed è destinata a fornire a chiunque non abbia un account specifico nel sistema. In Windows XP, per impostazione predefinita, questi utenti non possono disattivare il sistema e trova anche l’account disabilitato dal naso richiede la password per accedere al nostro sistema operativo come ospite, con i problemi di sicurezza che ciò potrebbe portare.
Fondamentalmente, abbiamo speso revisione dei gruppi che Windows XP / Windows 2000 fornisce, ma c’è ancora una speciale serie DeUsear che non abbiamo ancora definito e che sono anche usati Portindows:
rete
Comprendi tutti gli utenti che hanno accesso al nostro computer attraverso la rete.
USERIRIOTERMINAL Server
Quando abbiamo abilitato il Terminal Server sul nostro computer per accedere a distanza la nostra macchina, questo gruppo è abilitato e comprende tutti gli utenti che hanno avuto la sessione utilizzando il server terminal.
iv id = “-/ Div> Configurazione di rete operatori
In questo gruppo, tutti gli utenti sono inquadratura, possono modificare le impostazioni TCP / IP delle proprietà di rete. Per impostazione predefinita non ha alcun errore.
– Gruppi speciali
Duplicatori
è un gruppo destinato a integrare Losusuarios che può replicare a Directory nel servizio di replica dell’asta in un controller di dominio. Nelle stazioni del cliente e del PC non integrate in un dominio non ha senso aggiungere utenti a questo gruppo.
sistema
Esano dei gruppi speciali di Windows , e in nessun problema in quanto è dedicato esclusivamente all’accesso ai file in modo che i processi essenziali del sistema operativo possano eseguire.
Utenti in
Gruppo che identifica Utente attualmente connesso nel nostro sistema operativo.
Sintassi del comando cacls
La sintassi del comando è l’ancessione, sebbene abbia diversi modificatori o parametri.
Prima di continuare a commentare che Todolo che segue verrà digitato dalla console di comando . Cioè, avviare > Esegui e scrivi cmd e ahypod Digitino tutto ciò che segue.
La sintassi più immediata del cacls è il seguente:
caract_name_of_name
Ad esempio, se disponiamo di un file chiamato un esempio. Sexepues per fare clic:
CACLS Desktop \ ESEMPIO.EXE
e riceveremo le autorizzazioni come assegnato quel file assegnato. Possiamo anche utilizzare la detenzione variabile o il percorso completo del file. Ad esempio, se vogliamo consultare le prestazioni del file Explorer.exe che si trova nella cartella Windows, possiamo scrivere:
cacls% windir % \ explorer.exe
o
cacls c: \ windows \ explorer.exe
Come sempre, se il percorso contienePacios, devi inserire quotazioni:
cacls “% userprofile \ my folder \ exam.exe”
Come quasi tutti i comandi Dewindows, ha anche un numero di modificatori, che sono :
/ T Con questo modificatore, possiamo cancare le autorizzazioni a tutti i file in una cartella e sottocartelle.
/ E con lui Possiamo modificare l’ACL senza cambiarlo.
/ C è, diciamo, Modosilence. Se quando si modifica gli ACL trova un errore , omettelo e continua a modificarlo.
/ G Questa è le autorizzazioni per un determinato comando utente. Le autorizzazioni sono le seguenti:
nnnununish of writing wremiso
cermiso di cambiamento Gelo total
Ad esempio, per concedere il file di scrittura dell’utente di ALUSUARIO, il file example.exe è la cartella” Cartella personale “del desktop, potremmo farlo come segue:
cacls “% userprofile% \ desktop \ personale cartella \ example.exe” / build: w
/ r Questo Comando sospende le raccolte a un utente e agisce insieme con / e (poiché / e modifica l’ACL ma non lo modifica)
/ p Questo comando sostituisce l’utente il los Perpermises
/ d nega un utente eccesso.
Ad esempio, per negare l’accesso dell’utente di alusuario a FilenArior, scriviamo:
cacls”% userprofile % \ Desktop \ Cartella personale “\ example.exe / d utente
Se ci sbagli quando si scrive l’utente, un messaggio come questo apparirà:
non essere effettuato alcuna assegnazione tra nomi account e nomi di sicurezza.
Quando si considerano le cartelle delle autorizzazioniBreate, possiamo ottenere le seguenti abbreviazioni:
OI che riguardava che l’oggetto creato sotto la directory eredita l’autorizzazione
ci che si riferisce al fatto che i losbdirectory creati in questa directory erediteranno l’autorizzazione
Io che si riferisce al fatto che l’ElperMissus non influenzerà la directory e quindi erediterà il losbdirectoos
(IO) (CI) Le autorizzazioni prenderanno la cartella e le sottocartelle e i file saranno ereditati
(OI) (IC) (IO) Le autorizzazioni saranno solo LoHeard Sottocartelle e file
(ci) (Io) L’autorizzazione misterà solo le sottocartelle (IO ) (IO) Il permesso sarà solo i file
nessuna uscita si riferisce solo a questa cartella
. Durante la consulenza e la modifica delle autorizzazioni possiamo utilizzare caratteri jolly per farlo diversi a Lavez. Ad esempio:
cacls% windir% \ *. Exe
US Darebbe tutte le autorizzazioni dei file con estensione EXE della cartella di Windows. Possiamo anche assegnare gli utenti AVARIOS consente agli utenti di AVARIOS sullo stesso file con un singolo comando:
cacls “% userprofile% \ desktop \ folder \ example.exe” / Gusto: w / d user2
fornirebbe le autorizzazioni dello script utente sull’inizio e l’utente2.
cacls “% userprofile% \ desktop \ cartella personale \ example.exe” / g utente: wuser2: f
Darei all’utente Autorizzazioni di scrittura utente sull’inearchia e dall’utente User2 Controltotal.
Infine, vedremo che riceverai alcune autorizzazioni, viene chiesto se siamo sicuri o non dello che facciamo. Per evitare questo messaggio digitato quanto segue:
echo y | cacls “% userprofile% \ Desktop \ Personal folder \ example.exe “/ gusto: w user2: f
tenendo conto che si inserisce” e “e il simbolo | Non ci sono Nunepace.
lo strumento xcacls, un caclsmejorado
xcacls è Uno strumento di comando portatile che può visualizzare le informazioni sullo schermo che gli strumenti CACLS non possono visualizzare. Lo strumento che ci siamo scaricato può essere scaricato qui.
Questo strumento è particolarmente utile per mostrare e impostare le autorizzazioni speciali e in particolare per automatizzare gli script per riga di comando, impostare le autorizzazioni iniziali di cartelle e file in installazioniDecenti .
La tua sintassi è simile a quella del comando CACLS e sono descritti in questo GBS.
{jos_sb_discuss: 2}