De obicei, se referă la listele de control al accesului Porsus Acronyms în limba engleză, adică ca Lista de control ACLO Access. ACL-urile sunt neobișnuite de tabele care spun sistemul de operare ceea ce sau care este permisiunea de a accesa un obiect specific și sunt exclusive NTFS care formează partiții. Toate aceste permisiuni pot fi modificate cu comanda „CACLS”. În acest articol vom vedea cum să o facem și vom defini ce obiecte și / oconiști putem aplica aceste autorizații.
Descriptori de securitate și ACL
Orice obiect dintr-un nucleu NT și pe un sistem de fișiere NTFS a asociat Foders de securitate stocate în securitatea numită descriptori. Într-un descriptor de securitate stagnat cine este proprietarul obiectului și grupul de utilizatoriPertenece, precum și cine are acces la obiect și ce fel de permisiuni au acces. Aceste permisiuni sunt salvate în apelurile ACL (în limba engleză, lista de control al accesului) sau listele de control al accesului.
În principiu, descriptorii de desensiune nu sunt stocați în mod specific în nici un dosar. Ele sunt metadate concentrate în MFT. Sfânt, nu putem accesa în mod direct aceste descriptori sau le putem edita (direct). Unul este cât de mult putem obține este să vă vedem criptat în Registrul Dewindows. De exemplu: Conectăm-ne cu un cont de administrator și suntem acasă > rulați și scrierea regedit.si navigați la cheia care apare în imagine, vom vedea valoarea de securitate. Aceasta este Desegruitatea descriptorului asociat cu serviciul „Eveniment Record”.
DIV id = „D80B1CCE10”>
Dar utilizarea comenzii CACLS le putem modifica.
comanda caiacs Este responsabil pentru gestionarea listelor de control de acces menționate mai sus (onwardacl). Există două tipuri de ACL: DACL și SACL. Hai să arătăm pe scurt fiecare:
DACL: sunt acronimele „Listei de control discreționare a accesului”, ESDECIR, lista discreționară de succesing. În acesta sunt stocate Acces permis de obiect și îndreptat de proprietarul obiectului menționat.
Sack: sunt acronimul pentru „Lista de control al accesului la sistem” sau lista de control a Accesul la sistem. Este legată de acțiunile care vor fi auditate de sistem.
ACL conține un ACE (sau „intrare de control al accesului”, intrare Access Decontrol care indică ce permisiuni pe care fiecare utilizator le are. Acesta este, un ACE pentru fiecare utilizator sau grup. Permisiunile sunt atribuite ca fiind permise (Permite) și negative (Deniega). După cum vom vedea, permisiunile sunt situate în NEAAACI negative și apoi Losnegativ. Cum putem vedea acest lucru vizual?
pentru a le vedea trebuie să accesăm fila „se Gury „care apare când faceți clic pe dreapta pe un dosar Oarchive. În acest număr de întrebări frecvente 6 există informații despre cum să includeți fila în Windows XP. Dacă facem clic pe recree pe neacarpet și alegeți Proprietăți și apoi fila „Siguranță”, vom vedea că diferiții utilizatori și permisiuni care au pe dosarul menționat sunt în această fereastră, totuși, nu vom vedea mai mult decât un rezumat al diferitelor cele din ce în ce mai complexe. Pentru a le vedea, o vom face cu neexeperare:
dacă ne loghează cu un utilizator limitat și noi Creați un dosar cu numele pe care îl dorim și la locația pe care o dorim. Oferim accesul utilizatorului administratorului la acel folder (negare, vă rog, adresa ar putea apoi să elimine …). Faceți clic dreapta pe folderul > Proprietăți > Securitate și vedem acolo utilizatorul Administrator. Pentru a elimina permisiunile, PCAch despre „Opțiuni avansate” și debifuncționează moștenirea obiectului principal la obiectele secundare. Apoi ne întoarcem la fereastra anterioară și selectați utilizatorul Administrați și apoi pe cutiile de așteptare de mai jos „Denar”. Se va afișa următorul mesaj:
DIV id = „0481744149”> în picioare o dependență de intrare a permisiunilor. Intrări de a nega prioritate privind intrările de permisiune. Aceasta înseamnă că, dacă un membru al două grupuri, cel care primește un permis și altul la care îl neagă, utilizatorul este refuzat de utilizator. Doriți să continuați utilizatorul.
Faceți clic pe „Acceptare” și vom elimina permisiunile de acces.După cum arată în mod clar mesajul, Rediuirea Los efectuează sunt prioritate față de permisiuni. Acum vedem această prioritate. Dacă ne întoarcem la „Opțiuni avansate”, vom vedea că permisiunile „denar” și sub titlul „Permiteți” „nu specifică alte tipuri de permisiuni, va apărea” Full Control „, dar Silos Spels vom vedea asta Există mai multe permisiuni concrete decât în general blând.
Acestea sunt permisiunile la un DACI. Așa cum s-a menționat într-un sacl, efectuează auditat de sistem. Această caracteristică nu este disponibilă în XP Home și putem face acest lucru numai în Prof. Parallo, accesăm fila „Siguranță” și apoi faceți clic pe „Optionsavanzadas”. Vom vedea că una dintre filele care apar este auditul, adică conținutul saclului.
comanda CACLS
iv id = „9cde80613a” ca noi au spus că ACL determină că utilizatorii sau grupurile de utilizatori pot accesa un obiect specific și este o caracteristică exclusivă a fișierelor de fișiere.
De fapt, această comandă poate simplifica mai degrabă permisiuni de lichidă prin utilizarea unor scripturi automate pe care le puteți trimite aceste acls și utilizarea sa este posibilă pe orice sistem cu nucleul NT, adică că o putem folosi atât pe XP, cât și XP Prof.
Trebuie să ne amintim că Windows 2000 și Windows XP Profesia va lua un editor ACL la care putem accesa făcând clic pe Botonderecho din dosarul sau fișierele a căror Formează dorim să modificăm, să faceți clic pe Proprietăți și în noua casetă Dediago, selecționând fila „Siguranță”.
cu calcuri, pe de altă parte, nu este necesar să facem nimic suplimentar care este funcțional atât în Home WinXP, cât și în profit, simplificând foarte mult misiunea Permisele de sarcină asupra utilizatorilor, containerelor sau obiectelor. Aceste comunități sunt echivalente cu comenzile Chmod și Chown din Linux, care servesc, respectiv, să varieze permisiunile dosarelor și dosarelor și să modifice proprietarul de către OCCarpetas.
Când un obiect sau un fișier este creat, moștenește de obicei permisiunile implicite ale dosarului sau containerului în care este creat prin impritarea procesului de administrare pe obiectele conținute în acesta. Permisiunile de bază care sunt permise să stabilească în orice operație Operativcon Nucleus NT, sunt următoarele:
Permisiuni
citit. Permite unui grup sau unui grup de resturi să vadă fișierele și subfolderele conținute în principal.
DIV id = „9CDE80613A”> Scrierea. Permite unui utilizator să creeze fișier ysubcard, să modifice atributele și să vizualizeze proprietarul și permisiunile din dosar, precum și să modifice conținutul fișierului ocartec iv id = „9cde80613a” a dosarului. Acest tip de permisiune, permite vizualizarea conținutului de unaccipe și pentru a călători structura directorului sau a executa fișierele care au eseu, aceasta permite, de asemenea, citirea atributelor fișierului în cauză și dați conținutul aceluiași
citire și execuție. Acest tip de permisiune combină drepturile acordate de permisiunile „citite” și „arată conținutul unui dosar”, adică faptul că permisele acordate ar fi similare cu cele pe care le-am comentat mai devreme pentru conținutul expoziției arată. Singura diferență între acest tip de permisiune pentru a arăta conținutul constă în modul în care sunt moștenite permisele. În cazul citirii și executării, permisiunile sunt moștenite de toate directoarele și fișierele conținute în dosarul în care se aplică permisul de citire și execuție. În cazul afișării conținutului folderului, permisiunile sunt moștenite numai despre dosarele create.
DIV ID = „9CDE80613A” Modificați. Aceasta este una dintre permisiunile care se ridică asupra dosarului sau a fișierelor în care se aplică deoarece permite tuturor și a fiecăruia dintre permisiunile explicate mai sus, cu excepția preluării posesiei și eliminării și a fișierelor și schimbarea Los perpermises, deoarece acestea pot fi luate numai Permisul total de control. DIV ID = „9CDE80613A”> Controlul total. Assnico Această permisiune, să spunem că cuprinde toți cei descriși anterior, controlul total asupra căruia se acordă, inclusiv posibilitatea de a lua timp. Al cărui proces ați definit întrebările frecvente și care este de obicei o caracteristică exclusivă a grupului de dependenți.
divid id = „9cde80613a” Conceptul de a lua posesie spacit de înțeles, dacă înțelegem asta Sistemul de permisiuni NTFS Amintiți-vă proprietarul fișierului.Astfel, pentru folderele care conțin profilurile desutare în documente și setări, utilizatorul este întotdeauna utilizatorul ale cărui fișiere sunt conținute în acele carpetas și este implicit control total, depășește fișierele și folderele, astfel încât implicit puteți modifica întotdeauna Siercemises pentru a nega accesul la alți utilizatori. Atunci când un alt utilizator ia în posesia unui dosar semnificativ presupune proprietatea folderului și conținutul acesteia, dacă ne iubim în procesul de posesie. Este descris în acest număr de întrebări frecvente 7.
Culoarea slabă a tenului pe care o putem vedea când accesează securitatea securității securității în cauză, a moștenit principalul incontent , îl putem dezactiva, pur și simplu lipirea opțiunii opuse sau Wellingizarea modificărilor din recipientul principal, care va aplica permisiuni tuturor conținutului dosarului.
În mod implicit, aceste permisiuni pot fi aplicate anumitor utilizatori și specifice sistemului nostru sau grupurilor de utilizatori. În Windows XP, este definit în mod implicit orice serie de utilizatori, care sunt următoarele:
Grupuri de utilizatori
Utilizatori
Acest grup este cel pe care majoritatea restricțiilor impune sistemul Enel, dar cu care este cea mai sigură lucrare. Grupul de utilizatori nu permite modificarea registrului sau modificarea fișierelor de sistem sau fișierele de program, în practică presupune că acestea nu pot utiliza software-ul. Deși are control deplin, despre fișierele pe care le consideră și despre sucursala de registry, HKEY_CURRENT_USER, sunt, de asemenea, lăsați să dezactiveze ELPC.
în practică este ceva greoaie de a lucra tipul de utilizator, deoarece nu permite executarea unei multitudini de software la Windows XP care nu acceptă noile NTF și permisiuni standard Pentru versiunile anterioare ale acestui sistem de operare.
Utilizatori
Acest grup impune mai puține restricții pe care le gestionați utilizatorii, dar mai mult decât administratorii. Să spunem că este la Mediazino între ambele grupuri. De fapt, multe dintre problemele de restricții care sunt date la executarea software-ului în echipa noastră, utilizarea acestui tip de utilizator a fost rezolvată. Utilizatorii avansați pot execupa aplicații destinate sistemelor de operare cu nucleu nucleus la Windows 2000. Start și stop Services, alții decât elementele de bază și cele care sunt inițiate în mod implicit cu sistemul de operare, instalați orice program care nu modifică fișierele de sistem operaționale și predarea la datele din grupul de utilizatori, cu excepția cazului în care aceștia primesc repetificarea permisiunii de acces la fișierele lor.
DIV id = „0481744149”> operatori înapoi Backup
sunt utilizați utilizatorii pentru a crea și a restabili Copii de backup și ale căror acțiuni sunt aplicate în funcție de sistemul de permisiune specificat în sistem. Acești utilizatori pot iniția sistemul nostru și, de asemenea, opriți-l. DIV ID = „0481744149”> Administratorii
Aceasta este cea mai bună subvenție în sistem și numai ar trebui folosite pentru Sarcini specifice care sunt, de exemplu, de exemplu: instalarea componentelor sistemului de operare, adică drivere, servicii, actualizări și pachete de servicii, repararea sistemului de operare, administrarea auditului și controlul înregistrărilor pe containere și obiecte și administrarea grupurilor de resturi.
Utilizatorii aparținând acestui grup au aceleași permisiuni ca și grupul de utilizatori și sunt destinate persoanelor care nu dispune de un anumit cont în sistem. În Windows XP, în mod implicit, acești utilizatori nu pot opri sistemul și găsește, de asemenea, contul dezactivat, deoarece nasul necesită parola pentru a accesa sistemul nostru de operare ca oaspete, cu problemele de securitate pe care le-ar putea conduce acest lucru.
divid id = „0481744149”> rețea
Înțelegeți toți utilizatorii care au acces la computerul nostru prin rețea.
DIV id = „0481744149”> UserIrIOTERMINAL Server
Când am activat serverul terminal pe computerul nostru pentru a accesa de la distanță mașina noastră, acest grup este activat și cuprinde toți utilizatorii care au avut o sesiune utilizând Terminal Server. DIV ID = „0481744149”> Configurarea rețelei de operatori
În acest grup, toți utilizatorii sunt încadrați, pot modifica setările TCP / IP ale proprietăților rețelei. În mod prestabilit, nu are nici un utilizator de utilizator.
– Grupuri speciale
Duplicatoare
este un grup destinat să integreze Losusuarios care pot replica a Director în serviciul de replicare a tijei într-un controler de domeniu. În posturile clientului și ale PC-urilor care nu sunt integrate într-un domeniu nu are sens să adăugați utilizatorii acestui grup.
DIV id = „0481744149”> Sistem
Esuno a grupurilor speciale de ferestre , iar în nici un utilizator dedicat în mod exclusiv accesul la depozit, astfel încât procesele esențiale ale sistemului de operare să poată efectua. divid id = „0481744149” utilizatorii din Grupul
care identifică Utilizator înregistrat în prezent în sistemul nostru de operare.
sintaxa comenzii CACLS
Sintaxa comenzii este de ancență, deși are mai mulți modificatori sau parametri.
DIV id = „0481744149”> înainte de a continua să comentez că Todolo care urmează va fi tipărit din consola de comandă . Adică începe > rulați și scrieți cmd și ahypod hai să introducem tot ce urmează.
Cea mai imediată sintaxă a Cacls este după cum urmează:
caract_name_of_name
De exemplu, dacă avem un fișier numit un exemplu.Exepues pentru a face clic pe:
CACLS Desktop \ Exemplu.exe
și vom primi permisiunile ca fiind atribuite fișierului atribuit. De asemenea, putem folosi detenție variabilă sau calea completă a fișierului. De exemplu, dacă vrem să consultăm performanțele fișierului Explorer.exe că este în folderul Windows, putem scrie:
Cacls% windr % \ Explorer.exe
CACLS C: \ Windows \ Explorer.exe
ca întotdeauna, în cazul în care traseul continspacios, trebuie să introduceți Citate:
Cacls „% userprofile \ dosarul meu \ examen.exe”
ca aproape toate comenzile Dewindows, ea are, de asemenea, un număr de modificatori, care sunt :
/ t Cu acest modificator Canclum permisiunile tuturor fișierelor dintr-un dosar și subfoldere.
DIV id = „0481744149”> / e cu el putem modifica ACL fără a-l schimba. DIV ID = „0481744149”> HIT ‘/ C este, să spunem, modosilența. Dacă atunci când modificați ACL găsește o eroare , o omitează și continuă să o modifice. / / g Aceasta este permisiunile la o anumită comandă de utilizator. Permisiunile sunt după cum urmează:
nnningununish de scriere wrermiso
CPERMISO de schimbare Frosts total
, de exemplu, pentru a acorda utilizator utilizator de utilizator Alusuario permisionobre fișierul Exemplu.exe care sunt folderul” Folder personal „al desktopului, am putea face acest lucru după cum urmează:
iv ID . Comanda suspendă creșterea la un utilizator și acționează împreună cu / e (din moment / e modifică ACL, dar nu îl schimbă)
/ p Această comandă înlocuiește utilizatorul LOS Perpermises
/ d nesează un utilizator ECCESO.
DIV id = „0481744149”> De exemplu, pentru a deznoda accesul utilizatorului Alusuario la Filenarior, scriem:
CACLS”% UserProfile % \ Desktop \ Folder Personal „\ example.exe / d Utilizator
Dacă ne înșelați atunci când scriem utilizatorul, va apărea un mesaj:
Nu faceți nicio sarcină între numele contului și numele de siguranță.
Când luați în considerare folderele permisionare, putem obține următoarele abrevieri:
oi care este preocupat de faptul că obiectul creat sub director va moșteni permisiunea
CI care se referă la faptul că losbdirecțiile create în acest director vor moșteni permisiunea
iv id = „0481744149” io care se referă la faptul că Elpemnissus nu va afecta directorul și, prin urmare, va moșteni Losbdirecios
(Io) (CI) Permisiuni vor lua dosarul, iar subfolderele și fișierele vor fi moștenite
(IO) (IO) Permisiunile vor fi doar lohard Subfoldere și fișiere
(io ) (IO) Permisul va numai pe fișierele
Nu se referă numai la acest dosar
Atunci când consultați și modificați permisiunile putem folosi caracterele Wildcard pentru a face mai multe la Lavez. De exemplu:
caiacl% winder% \ *. Exe
SUA Ar oferi toate permisiunile fișierelor cu extensia exe a dosarului Windows. De asemenea, putem atribui utilizatorilor Avarios permise pe același fișier cu o singură comandă:
divid id = „0481744149”> CACLS „% UserProfile% \ Desktop \ Personal Folder \ Exemplu.exe” / Gust: w / d user2
ar da permisiunile de script de utilizator pe Elarchy și User2 ar fi negat.
DIV ID . Aș da permisiunile de scriere a utilizatorului utilizatorului pe Eararchy și utilizatorul utilizatorului utilizator2.
În cele din urmă, vom vedea că obținerea unor acțiuni de permisiuni este întrebată dacă suntem siguri sau nu delo pe care o vom face. Pentru a evita acest mesaj am introdus următoarele:
ECHO Y | CACLS „% UserProfile% \ Desktop \ Folder Personal \ Exemplu.exe „/ Gust: W Utilizator2: F
/ P>
Având în vedere că introduceți-l” și „și simbolul | Nu există niciun spațiu.
Instrumentul xcacls, un caclsmejorado
xcacls este Un instrument de comandă portabil care poate afișa informații pe ecran pe care uneltele CACLS nu le pot afișa. Instrumentul pe care îl citez poate fi descărcat aici.
Acest instrument este deosebit de util pentru afișarea și stabilirea unor permisiuni speciale și în special pentru automatizarea scripturilor prin linia de comandă, setați permisiunile inițiale ale dosarelor și fișierelor din instalații .
Sintaxa dvs. este similară cu cea a comenzii CACLS și sunt descrise în acest GBS.
{jos_sb_discuss: 2}