Nous nous référons généralement aux listes de contrôle d’accès PORSUS acronymes en anglais, c’est-à-dire comme liste de contrôle d’accès ACLO. Les ACL sont unaSperate des tables qui indiquent au système d’exploitation. Quoi ou qui est la permission d’accéder à un objet spécifique et sont exclusives NTFS Formant des partitions. Toutes ces autorisations peuvent être modifiées avec la commande « CACLS ». Dans cet article, nous verrons comment le faire et nous définirons quels objets et / ocontants nous pourrons appliquer ces permis.
Descripteurs de sécurité et de vérification ACL
Tout objet dans un noyau de Windowscon NT et sur un système de fichiers NTFS a associé aux favoris de la sécurité stockées dans la sécurité appelée Security descripteurs. Dans un descripteur de sécurité a stagné qui est propriétaire de l’objet et quel groupe d’utilisateursPerrtenece, ainsi que qui a accès à l’objet et quel type d’autorisations ont accès. Ces autorisations sont enregistrées dans les appels ACLS (en anglais, la liste de contrôle d’accès) ou les listes de contrôle d’accès.
En principe, des dessevins Descriptors ne sont pas stockés spécifiquement dans aucun dossier. Ils sont des métadonnées ciblées dans le MFT. Saint, nous ne pouvons pas accéder directement à ces descripteurs ou les modifier (directement) .A Le moment où nous pouvons obtenir est de vous voir crypté dans le registre des déswindows. Par exemple: nous nous connectons avec un compte d’administrateur et nous sommes à la maison > Run and Write Regedit.si navigue à la clé qui apparaît dans l’image, nous verrons la valeur de sécurité. C’est la déségarité des descripteurs associée au service « Enregistrement d’événement ».
Mais en utilisant l’interface graphique ou à l’aide de la commande CACLS, nous pouvons les modifier.
Les ACLS
la commande CaClS Il est chargé de gérer les listes de contrôle d’accès susmentionnées (Onwardacl). Il existe deux types d’ACL: DACL et SACL. Regardons brièvement chacun:
DACL: sont les acronymes de « Liste de contrôle d’accès discrétionnaire », Esdecir, liste discrétionnaire du décesses de décession. Il est stocké le Permis d’accès à l’objet et redressé par le propriétaire dudit objet.
SACK: sont l’acronyme de « liste de contrôle d’accès système » ou de la liste de contrôle de accès système. Il est lié aux actions qui seront auditées par le système.
Une ACL contient une ACL (ou « Entrée de contrôle d’accès », entrée Access Decontrol qui indique les autorisations de chaque utilisateur. C’est-à-dire une ACE pour chaque utilisateur ou groupe. Les autorisations sont attribuées comme autorisées (le permet) et négatives (Deniega). Comme nous le verrons, les autorisations sont situées dans UNAAACL négatif, puis Losnegative. Comment pouvons-nous voir cela visuellement?
Pour les voir, nous devons accéder à l’onglet « SE Gury « qui apparaît lorsque vous cliquez sur un dossier ORARCHIVE. Dans cette FAQ Number 6, il existe des informations sur la manière d’inclure cet onglet dans Windows XP. Si nous cliquons sur EntreRec sur Unaccarpet et choisissez Propriétés, puis l’onglet « Sécurité », nous verrons que les différents utilisateurs et autorisations qui ont sur ledit dossier sont dans cette fenêtre, cependant, nous ne verrons pas plus d’un résumé des différents ceux, étant celles-ci de plus en plus complexes. Pour les voir, nous le ferons avec Nexle:
Si nous nous connectons avec un utilisateur limité, et nous Créez un dossier avec le nom que nous voulons et à l’emplacement que nous voulons. Nous allons accéder à l’utilisateur Adecome à ce dossier (déni qui, s’il vous plaît, l’adresse peut alors supprimer …). Cliquez avec le bouton droit de la souris sur le dossier > propriétés
Security et nous voyons là l’utilisateur de l’administrateur. Pour supprimer les autorisations, PCACH sur « Options avancées » et nous décochons hériter de l’objet principal de l’objet aux objets secondaires. Ensuite, nous revenons à la fenêtre précédente et sélectionnerons l’utilisateur Administrateur, puis sur les cases Quhay ci-dessous « Denar ». Le message suivant apparaît:
debout une denegation d’entrée d’autorisations. Entrées de préjugé de priorité sur les entrées de permission. Cela signifie que si un membre de deux groupes, une personne qui reçoit un permis et une autre à laquelle il le nie, l’utilisateur est refusé l’utilisateur. Voulez-vous continuer ?
Cliquez sur « Accepter » et nous supprimerons les autorisations d’accès.Comme indique clairement le message, le déni des performances est prioritaire sur les autorisations. Nous voyons maintenant que la priorité. Si nous revenons à « Options avancées », nous verrons que les autorisations « Denar » et ci-dessous « Autoriser » Titre « ne spécifient pas d’autres types d’autorisations apparaîtront, » Contrôle total « apparaîtra, mais des Silos Spécifés Nous verrons que Il semble que des autorisations plus concrètes apparaissent que en général doux.
Ce sont les autorisations à un DACL. Comme mentionné dans une SACL, la performance doit être auditée par le système est contenue. Cette fonctionnalité n’est pas disponible dans XP Home et nous ne pouvons le faire que dans le professeur Parallo, nous accédons à l’onglet « Safety », puis cliquez sur « OptionsAvanzadas ». Nous verrons que l’un des onglets qui apparaissent est audit, c’est-à-dire le contenu de la SACL.
la commande CACLS
comme nous ont déclaré que les ACLS déterminent que les utilisateurs ou les groupes d’utilisateurs peuvent accéder à un objet spécifique et il s’agit d’une caractéristique exclusive des fichiers de fichiers.
En fait, cette commande peut simplifier des autorisations plutôt licodées en utilisant des scripts automatisés que vous pouvez envoyer ces ACL et son utilisation est possible sur n’importe quel système avec NT NUCLEUS, c’est-à-dire que nous pouvons l’utiliser à la fois XP Home et XP Prof.
Nous devons nous rappeler que Windows 2000 et Windows XP profession prendront un éditeur ACL auquel nous pouvons accéder en cliquant sur le dossier ou les fichiers dont Forme que nous voulons modifier, cliquez sur Propriétés et dans la nouvelle boîte de Dediego, en sélectionnant l’onglet « Sécurité ».
avec des calculs, d’autre part, il n’est pas nécessaire de faire quoi que ce soit supplémentaire, qui est fonctionnel dans la maison WinXP et en professeur, simplifiant considérablement l’affectation Permis de tâche sur les utilisateurs, les conteneurs ou les objets. Ces communautés sont en réalité équivalentes aux commandes CHMOD et CHOWN de Linux, qui servent, respectivement, pour varier les autorisations de dossiers et de fichiers et de modifier le propriétaire de ADDUCARPETAS.
Lorsqu’un objet ou un fichier est créé, hérite généralement les autorisations par défaut du dossier ou du conteneur dans lequel elle est créée en identifiant le processus d’administration sur les objets contenus. Les autorisations de base autorisées à établir dans n’importe quel noyau de fonctionnementCon NT sont les suivantes:
autorisations
lu. Permet à un utilisateur ou à des débris de voir les fichiers et les sous-dossiers contenus dans le capital.
écrire. Permet à un utilisateur de créer un fichier ysubcard, de modifier les attributs et de visualiser le propriétaire et les autorisations du dossier ainsi que de modifier le contenu du fichier ocartec
Afficher le contenu du dossier. Ce type d’autorisation permet de voir le contenu de Unacchipe et de parcourir sa structure de répertoire ou d’exécuter les fichiers qui possèdent un essai, il permet également de lire les attributs du fichier en question et de donner le contenu du même
lecture et exécution. Ce type d’autorisation combine les droits accordés par des autorisations « lire » et « montrer le contenu d’un dossier », c’est-à-dire que les autorisations accordées seraient similaires à celles que nous avons commentées plus tôt pour le contenu du salon d’exposition. La seule différence entre ce type d’autorisation pour montrer du contenu consiste à hériter des permis. Dans le cas de la lecture et de l’exécution, tous les autorisations et les fichiers contenus dans le dossier dans lequel le permis de lecture et d’exécution est appliqué. Dans le cas de la montrage du contenu du dossier, les autorisations ne sont héritées que des dossiers créés.
Modifier. Il s’agit de l’une des autorisations qui augmentent dans le dossier ou des fichiers dans lesquelles il est appliqué car il permet à toutes et chacune des autorisations expliquées ci-dessus, à l’exception de la possession et des éliminations et des dossiers et modifier les Perpermises de Los, car elles ne peuvent être sorties que par Le permis de contrôle total.
contrôle total. Assenico Cette permission, disons-nous qu’il englobe toutes les personnes décrites auparavant le contrôle total sur lequel il est accordé, y compris la possibilité de prendre la délimitation. Dont vous avez défini notre FAQ et c’est généralement une caractéristique exclusive du groupe des dépendeurs.
Le concept de prise de possession spacieusable, si nous comprenons que Le système des autorisations NTFS se souvient du propriétaire du fichier.Ainsi, pour les dossiers contenant les profils désuataires dans des documents et des paramètres, l’utilisateur est toujours l’utilisateur dont les fichiers sont contenus dans ces carpettas et que la commande totale est par défaut, surmonte les fichiers et les dossiers, donc par défaut, vous pouvez toujours modifier les siercemises à refuser. accès à d’autres utilisateurs. Lorsqu’un autre utilisateur prend possession d’un dossier important suppose la propriété du dossier et du contenu, si nous aimons dans le processus de possession. Il est décrit dans cette FAQ Number 7.
TENU DIM COLOR TENU que nous pouvons voir en accédant à la sécurité de la sécurité de la sécurité en question là-bas hérité de l’incontent principal , nous pouvons le désactiver, tout simplement en train de briser l’option opposée ou de bien-être les changements dans le conteneur principal, qui appliqueront des autorisations à tout le contenu du dossier.
Par défaut, ces autorisations peuvent être appliquées à des utilisateurs spécifiques et à notre système spécifique ou sur des groupes d’utilisateurs. Dans Windows XP, il est défini toute série d’utilisateurs par défaut, qui sont les suivantes:
Groupes d’utilisateurs
Les utilisateurs
Ce groupe est celui que la plupart des restrictions impose un système Enel mais avec lequel il s’agit du travail le plus sûr. Le groupe d’utilisateurs ne permet pas de modifier le registre, ni de modifier les fichiers système, ni les fichiers de programme, dans la pratique suppose qu’ils ne peuvent pas pouvoir utiliser des logiciels. Bien qu’il ait le contrôle total, des fichiers qu’ils croient et de la branche de registre, HKEY_CURRENT_USER, ils sont également autorisés à désactiver ELPC.
dans la pratique est une tâche lourde pour travailler le type d’utilisateur car il ne permet pas l’exécution d’une multitude de logiciels sur Windows XP qui ne prend pas en charge les nouvelles autorisations NTFS et Standard Pour les versions précédentes de ce système d’exploitation.
Ce groupe impose moins de restrictions que vous gérez les utilisateurs, mais plus que des administrateurs. Disons que c’est à Mediazino entre les deux groupes. En réalité, bon nombre des problèmes de restrictions qui sont donnés lors de l’exécution de logiciels sur notre équipe, l’utilisation de ce type d’utilisateur a été résolue. Les utilisateurs avancés peuvent, ThereBout, exécutez des applications conçues pour les systèmes d’exploitation avec NUCLEUS NUCLEUS à Windows 2000. Démarrage et arrêt des services autres que les bases et ceux qui sont initiés par défaut avec le système d’exploitation, installez tout programme qui ne modifie pas les fichiers système opérationnels et l’enseignement aux données du groupe d’utilisateurs, à moins qu’ils ne reçoivent repicifiquement l’autorisation d’accès à leurs fichiers.
Les opérateurs Back Backup
sont utilisés pour créer et restaurer copies de sauvegarde et dont les actions sont appliquées dépendent du système d’autorisation spécifié dans le système. Ces utilisateurs peuvent initier sur notre système et éteindre également.
administrateurs
C’est celui qui répond aux meilleures subventions dans le système et seulement doit être utilisé pour le Des tâches spécifiques qui sont par exemple, par exemple: l’installation de composants du système d’exploitation, c’est-à-dire des pilotes, des services, des mises à jour et des packs de services, réparation de systèmes d’exploitation, administration d’audit et contrôle des enregistrements sur des conteneurs et des objets, ainsi que l’administration de groupes de débris.
Invitados
Los usuarios pertenecientes a este grupo tienenlos mismos permisos que el grupo de Usuarios, y está destinado para proporcionaracceso a todo aquel que no tenga una cuenta especifica en le système. Sous Windows XP, par défaut, ces utilisateurs ne peuvent pas désactiver le système et trouver le compte désactivé puisque le nez nécessite un mot de passe pour accéder à notre système d’exploitation en tant qu’invité, avec les problèmes de sécurité que cela pourrait mener.
Fondamentalement, nous avons passé la revue des groupes que Windows XP / Windows 2000 fournit, mais il existe toujours une série spéciale déseus que nous n’avons pas encore définie et qui sont également utilisées. Porwindows:
Réseau
Comprenez tous les utilisateurs ayant accès à notre ordinateur via le réseau.
Useririoterminal Server
Lorsque nous avons activé le serveur Terminal Server sur notre ordinateur pour accéder à distance à notre machine, ce groupe est activé et comprend tous les utilisateurs qui ont hébété de session à l’aide du serveur Terminal Server.
Opérateurs Configuration du réseau
Dans ce groupe, tous les utilisateurs encadrent, ils peuvent modifier les paramètres TCP / IP des propriétés du réseau. Par défaut, il n’a pas d’utilisateur.
– des groupes spéciaux
Duplicators
est un groupe destiné à intégrer les losusuarios qui peuvent reproduire un Répertoire dans le service de réplication de tige dans un contrôleur de domaine. Dans les stations du client et de PC non intégrées dans un domaine n’a aucun sens d’ajouter des utilisateurs à ce groupe.
Système
ESUNO des groupes spéciaux Windows , et dans le no d’utilisateurs car il est exclusivement dédié à l’accès au fichier de sorte que les processus essentiels du système d’exploitation puissent effectuer.
utilisateurs de
groupe qui identifie Utilisateur actuellement connecté à notre système d’exploitation.
Syntaxe de la commande CACLS
la syntaxe de la commande est ancesence, bien qu’elle a plusieurs modificateurs ou paramètres.
Avant de continuer à commenter que Todolo qui suit sera saisi de la console de commande . C’est-à-dire, commencez > Ecrivez et écrivez cmd et ahypod Tapez tout ce qui suit.
La syntaxe la plus immédiate des CACLS est la suivante:
caract_name_of_name
Par exemple, si nous avons un fichier appelé exemple.exepues pour cliquer sur:
Cacls Desktop \ Exemple.exe
et nous obtiendrons les autorisations comme attribuées à ce fichier attribué. Nous pouvons également utiliser la détention variable ou le chemin complet du fichier. Par exemple, si nous voulons consulter les performances du fichier explorateur.exe qu’il figure dans le dossier Windows, nous pouvons écrire:
Cacls% Windir % \ explorer.exe
ou
Cacls c: \ windows \ explorer.exe
Comme toujours, si l’itinéraire contient des pparacios, vous devez entrer des devis:
cacls « % userprofile \ mon dossier \ examk.exe »
Comme presque toutes les commandes DeWindows, il a également un certain nombre de modificateurs, qui sont également nombreux :
/ t avec ce modificateur Nous cancons les autorisations à tous les fichiers d’un dossier et de sous-dossiers.
/ e avec lui, nous pouvons modifier la liste de contrôle d’accès sans le modifier.
/ c est, disons, modosilence. Si lors de la modification des ACLS. Si la modification des ACLS trouve une erreur , omet-le et continue de le modifier.
/ g Il s’agit des autorisations à une commande utilisateur particulière. Les autorisations sont les suivantes:
nningUnunish d’écriture Wrermiso
CERMISO de changement de givre total
Par exemple, pour accorder à l’utilisateur Alusuario, le fichier exemple.exe » du dossier « Dossier personnel » du bureau, nous pourrions le faire comme suit:
Cacls « % UserProfILE% \ Dossier \ Desktop \ Personal dossier \ Exemple.exe » / Build: W
/ r ceci la commande suspend les soulèvements à un utilisateur et agit ensemble avec / e (car / e modifie l’ACL mais ne le modifie pas)
/ P Cette commande substitute Utilisateur de substitut. Perpermbis
/ D refuse un utilisateur Eccesso.
par exemple, pour refuser l’accès des utilisateurs d’Alusuario à Filenarior, nous écrivons:
Cacls »% userprofile % \ Desktop \ Dossier personnel « \ Exemple.exe / D Utilisateur
Si nous nous trompons lors de la rédaction de l’utilisateur, un message comme celui-ci apparaîtra:
ne pas être affectée entre les noms de compte et les noms de sécurité.
Lorsque vous envisagez des permissionsBreat de dossiers, nous pouvons obtenir les abréviations suivantes:
OI craint que l’objet créé dans le répertoire héritera de l’autorisation
CI qui fait référence au fait que les losbdirectories créées dans ce répertoire hériteront de la permission
io qui fait référence au fait que l’Elpermissus n’affectera pas le répertoire et héritera donc de losbdirectoros
(IO) (CI) Les autorisations prendront le dossier et les sous-dossiers et les fichiers seront hérités
(ii) (IO) (IO) Les autorisations ne seront que lo loheard Subfolders and Fichiers
(CI) (io) (io) L’autorisation ne sera mis que les sous-dossiers
(io ) (Io) Le permis ne versera que les fichiers
aucune sortie ne fait référence à ce dossier
Lors de la consultation et de la modification des autorisations, nous pouvons utiliser des caractères génériques pour le faire plusieurs à Lavez. Par exemple:
Cacls% windir% \ *. EXE
US Cela donnerait toutes les autorisations des fichiers avec Exe Extension du dossier Windows. Nous pouvons également affecter les utilisateurs d’avarios les autorisations sur le même fichier avec une seule commande:
Cacls « % userprofile% \ dossier personnel \ exemples.exe » / Goût: W / D User2
donnerait aux autorisations de script utilisateur sur Elarchy et utilisateur2 serait refusé.
Cacls « % UserProfILE% \ Desktop \ Dossier personnel \ Exemple.exe » / g Utilisateur: WUSER2: F
Je donnerais aux autorisations d’écriture de l’utilisateur de l’utilisateur sur l’Elarchy et l’utilisateur utilisateur2 Controltotal.
Enfin, nous verrons que l’action des autorisations est posée si nous sommes sûrs ou non de Delo que nous allons faire. Pour éviter ce message, nous avons saisi les éléments suivants:
Echo y | Cacls « % userprofile% \ desktop \ dossier personnel \ exemple.exe « / Goût: w user2: f
prise en compte que vous entrez » et « et le symbole | Il n’y a pas de nunépace.
l’outil XCACLS, un caclsmejorado
xcacls est Un outil de commande portable pouvant afficher des informations à l’écran que les outils CaClS ne peuvent pas afficher. L’outil que nous citez pouvons être téléchargés ici.
Cet outil est particulièrement utile pour afficher et définir des autorisations spéciales, et en particulier pour automatiser les scripts par ligne de commande, définissez les autorisations initiales des dossiers et des fichiers dans les installationsDecentés .
Votre syntaxe est similaire à celle de la commande CACLS et est décrite dans ce GBS.
{jos_sb_discuss: 2}