Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 7 » Доступ - [решено] Проблемы с доступом к папкам и файлам .:[все вопросы]:.

Ответить
Настройки темы
Доступ - [решено] Проблемы с доступом к папкам и файлам .:[все вопросы]:.


Administrator


Сообщения: 25152
Благодарности: 3798


Конфигурация

Профиль | Сайт | Отправить PM | Цитировать


Как получить доступ к файлам, папкам, разделам реестра в Windows
прочтите статью до того, как задавать вопрос

Полезные ссылки

1. Синтаксис команды icacls

Код: Выделить весь код
ICACLS name /save ACL-файл [/T] [/C] [/L] [/q]
    сохранить ACL для всех соответствующих имен в ACL-файле для
    последующего использования с командой /restore.

ICACLS directory [/substitute SidOld SidNew [...]] /restore ACL-файл
                 [/C] [/L] [/q]
    применяет сохраненные ACL к файлам в папке.

ICACLS name /setowner пользователь [/T] [/C] [/L] [/q]
    изменяет владельца всех соответствующих имен.

ICACLS name /findsid Sid [/T] [/C] [/L] [/q]
    находит все соответствующие имена, которые включают в себя ACL,
    явно содержащие данный Sid.

ICACLS name /verify [/T] [/C] [/L] [/q]
    находит все файлы, чьи ACL не являются каноническими или длина которых
    не соответствует количеству ACE.

ICACLS name /reset [/T] [/C] [/L] [/q]
    заменяет ACL унаследованными по умолчанию ACL для всех соответствующих файло
в

ICACLS name [/grant[:r] Sid:perm[...]]
       [/deny Sid:perm [...]]
       [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/q]
       [/setintegritylevel Level:policy[...]]

    /grant[:r] Sid:perm предоставляет указанному пользователю права доступа. При
 использовании :r
        эти права заменяют любые ранее предоставленные явные разрешения.
        Если :r не используется, разрешения добавляются
          к любым ранее предоставленным явным разрешениям.

    /deny Sid:perm явно отклоняет права доступа для указанного пользователя.
        ACE явного отклонения добавляется для заявленных разрешений, и любое
          явное предоставление этих же разрешений удаляется.

    /remove[:[g|d]] Sid удаляет все вхождения Sid в ACL. C
        :g, удаляет все вхождения предоставленных прав в этом Sid. C
        :d удаляет все вхождения отклоненных прав в этом Sid.

    /setintegritylevel [(CI)(OI)]Level явно добавляет ACE уровня целостности
        ко всем соответствующим файлам.  Уровень может принимать одно из следующ
их
       значений:
            L[ow] - низкий
              M[edium] - средний
              H[igh]   - высокий
          Параметры наследования для ACE целостности могут предшествовать
          уровню и применяются только к папкам.

    /inheritance:e|d|r
        e - включение наследования
        d - отключение наследования и копирование ACE
        r - удаление всех унаследованных ACE


Примечание.
    Sid могут быть представлены либо в числовой форме, либо в форме понятного им
ени. Если задана числовая
    форма, добавьте * в начало SID.

    /T означает, что это действие выполняется над всеми соответствующими
        файлами и папками ниже уровня папок, указанных в имени.

    /C указывает, что это действие будет продолжено при всех ошибках файла.
        Однако сообщения об ошибках будут выводиться на экран.

    /L означает, что это действие выполняется над самой символической ссылкой,
       а не над ее целью.

    /Q означает, что команда ICACLS подавляет сообщения об успешном выполнении.

    ICACLS сохраняет канонический порядок записей ACE:
            Явные отклонения
            Явные предоставления
            Унаследованные отклонения
            Унаследованные предоставления

    perm - это маска разрешений, она может быть указана в одной из двух форм:
        последовательность простых прав:
                F - полный доступ
                    M - доступ на изменение
                    RX - доступ на чтение и выполнение
                    R - доступ только на чтение
                    W - доступ только на запись
            в скобках список определенных прав, разделенных запятыми:
                D    - удаление
                    RC   - чтение
                    WDAC - запись DAC
                    WO   - смена владельца
                    S    - синхронизация
                    AS   - доступ к безопасности системы
                    MA   - максимально возможный
                    GR   - общее чтение
                    GW   - общая запись
                    GE   - общее выполнение
                    GA   - все общие
                    RD   - чтение данных, перечисление содержимого папки
                    WD   - запись данных, создание файлов
                    AD   - добавление данных, создание папок
                    REA  - чтение дополнительных атрибутов
                    WEA  - запись дополнительных атрибутов
                    X    - выполнение файлов и обзор папок
                    DC   - удаление вложенных объектов
                    RA   - чтение атрибутов
                    WA   - запись атрибутов
            права наследования могут предшествовать любой форме и применяются
            только к папкам:
                (OI) - наследуют объекты
                    (CI) - наследуют контейнеры
                    (IO) - только наследование
                    (NP) - не распространять наследование

Примеры:

        icacls c:\windows\* /save AclFile /T
        - в файле AclFile будут сохранены ACL для всех файлов папки c:\windows
          и ее подкаталогов.

        icacls c:\windows\ /restore AclFile
        - из файла AclFile будут восстановлены Acl для каждого файла,
          существующего в папке c:\windows и ее подкаталогах

        icacls file /grant Administrator:(D,WDAC)
        - пользователю Administrator будут предоставлены разрешения на удаление
          и запись DAC для файла

        icacls file /grant *S-1-1-0:(D,WDAC)
        - пользователю с sid S-1-1-0 будут предоставлены разрешения
           на удаление и запись DAC для файла

2. Синтаксис команды takeown

Код: Выделить весь код
TAKEOWN [/S система [/U пользователь [/P [пароль]]]]
        /F имя_файла [/A] [/R [/D приглашение]]

Описание.
    Эта программа позволяет администратору восстанавливать доступ к файлу
    после отказа из-за переназначения владельца файла.

Параметры:
    /S  <система>                Удаленная система, к которой
                                 выполняется подключение.

    /U  [<домен\>]<пользователь> Контекст пользователя, в котором
                                 команда будет выполняться.

    /P  [<пароль>]               Пароль для указанного
                                 контекста пользователя.
                                 Приглашение, если опущен.

    /F  <имя_файла>              Шаблон для имени файла или каталога.
                                 Допускается подстановочный знак "*"
                                 при указании шаблона. Разрешен формат
                                 общий_ресурс\имя_файла.

    /A                           Делает владельцем группу администраторов
                                 вместо текущего пользователя.

    /R                           рекурсия: программа будет обрабатывать
                                 файлы в указанном каталоге и всех его
                                 подкаталогах.

    /D  <ответ>                  Ответ по умолчанию, когда текущий пользователь
                                 не имеет разрешения "Содержимое папки"
                                 на каталог.  Это случается при работе
                                 с подкаталогами в рекурсивном режиме (/R).
                                 Ответы: "Y" (владение) или "N" (пропустить).

    /?                           Вывод справки по использованию.

    Примечания. 1) Если не указан параметр /A, владельцем файла становится
                текущий вошедший пользователь.

                2) Смешанные шаблоны с использованием "?" и "*" не
                поддерживаются.

                3) Параметр /D подавляет вывод приглашений на подтверждение.

Примеры:
    TAKEOWN /?
    TAKEOWN /F файл
    TAKEOWN /F \\система\общий_ресурс\файл /A
    TAKEOWN /F каталог /R /D N
    TAKEOWN /F каталог /R /A
    TAKEOWN /F *
    TAKEOWN /F C:\Windows\System32\acme.exe
    TAKEOWN /F %windir%\*.txt
    TAKEOWN /S система /F MyShare\Acme*.doc
    TAKEOWN /S система /U пользователь /F MyShare\foo.dll
    TAKEOWN /S система /U домен\пользователь /P пароль /F ресурс\имя_файла
    TAKEOWN /S система /U пользователь /P пароль /F Doc\Report.doc /A
    TAKEOWN /S система /U пользователь /P пароль /F Myshare\*
    TAKEOWN /S система /U пользователь /P пароль /F Home\Logon /R
    TAKEOWN /S система /U пользователь /P пароль /F Myshare\directory /R /A

3. Пример использования icacls и takeown для получения доступа ко всем файлам несистемного диска

4. Пример использования SubInAcl для смены прав на раздел реестра из командной строки: 1 и 2



6. Как вернуть права прежнему владельцу TrustedInstaller

Кому некогда или лень: TakeOwnershipEx. Получить права на файл и вернуть всё, как было

Восстановление параметров безопасности по умолчанию - ссылка для общего развития. К Windows 7 неприменимо!


Популярные вопросы
Q. Права на весь системный диск были изменены. Как восстановить их в исходное состояние?
A. Начиная с Windows Vista такая возможность не предусмотрена. Единственное поддерживаемое решение - переустановить Windows, сохранив настройки и установленные программы.

Продолжение следует...
Это сообщение посчитали полезным следующие участники:

Отправлено: 20:42, 23-01-2009

 

Ветеран


Сообщения: 800
Благодарности: 22

Профиль | Отправить PM | Цитировать


Уже разобрался спасибо, добавил владельца.

-------
Подними репутацию. Нажми на "Полезное сообщение"


Отправлено: 16:06, 12-07-2011 | #231



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 83
Благодарности: 2

Профиль | Отправить PM | Цитировать


Цитата Morpheus:
ProFFeSSoR, только что абсолютно спокойно удалил папку Персонажи. Перед удалением сменил ей владельца на себя и выдал себе полные права. »
Получилось, спасибо. А Trusted Installer это установщик Виндовс или нет? Просто владельцем папок до этого был назначен он.

Отправлено: 09:50, 14-07-2011 | #232


Аватара для Celsus

Пользователь


Сообщения: 142
Благодарности: 10

Профиль | Отправить PM | Цитировать


ProFFeSSoR, так и должно быть - это, если я правильно понял, сделано для защиты важных файлов от случайного удаления или изменения неопытным пользователем, который работает под учетной записью администратора, или программами - они очень любят портить (заменять своими) системные файлы.

Phoenix, Согласен. В Windows уже выставлены на ключи реестра и системные файлы права более или менее оптимально, и их лучше не трогать. Раньше думалось наоборот
Единственная защита в XP, которую нашел, работа без административных прав. В Windows 7, к счастью, есть UAC.

Помогите, пожалуйста, разобраться с xcacls/cacls, subinacl, и, возможно, icacls
читать дальше »

1. Вопрос №1: Как ДЛЯ ФАЙЛОВ И КЛЮЧЕЙ РЕЕСТРА правильно поставить права только на чтение (rx) в xcacls и subinacl для всех пользователей и групп, и при этом, чтобы объект нельзя было переименовать и удалить?

Все ли верно:

xcacls c:\1.txt /e /p S-1-1-0:rx (ключ /e означает, что существующая запись только редактируется - добавляются группы и/или пользователи к уже имеющимся в записи)
или
xcacls c:\1.exe /p S-1-1-0:rx (список групп и/или пользователей создается заново, теперь в записи будут присутствовать только группы и/или пользователи, которые указаны в команде)

Ключ /t - обрабатываются также подкоталоги и файлы в них, в данном случае он бесполезен, но в случае с папкой его надо будет написать.

Ключ /p удаляет все остальные "галочки" доступа, ставя только те, что указаны в команде (в отличие от ключа /g, который добавляет "галочки" доступа, которые указаны в команде, к уже имеющимся).

При установках только разрешений получается правило - что не разрешено, то запрещено. При этом галочек запретов нет, в окне ГРУППЫ И ПОЛЬЗОВАТЕЛИ стоят только галочки разрешений "чтение и выполнение" и "чтение". Также, можно выставить эти же права командами
xcacls c:\1.exe /p S-1-1-0:rx
subinacl /file c:\1.txt /perm /grant=S-1-1-0=rx
После этого файл можно читать и выполнять, а изменять его содержание (сохранять новую версию на месте старой) нельзя. Но файл можно переименовать и удалить.

Неясный момент: если в ДОПОЛНИТЕЛЬНО убрать все галки в столбце РАЗРЕШИТЬ (в ЭЛЕМЕНТАХ РАЗРЕШЕНИЯ пропадет строчка РАЗРЕШИТЬ), и в стобце ЗАПРЕТИТЬ поставить все галочки, кроме стандартных пяти ("траверс папок\выполнение файлов", "содержание папки\чтение данных", "чтение атрибутов", "чтение дополнительных атрибутов", "чтение разрешений"), наконец-то получилось! - файл можно будет читать\запускать, но его нельзя будет удалить или переименовать.
Однако, если поставить хотя бы 1 галочку в столбце РАЗРЕШИТЬ (в ЭЛЕМЕНТАХ РАЗРЕШЕНИЯ появится строчка РАЗРЕШИТЬ), опятьдвадцатьпять, файл можно будет удалить и переименовать.
Почему так?

Вопрос №2: Как галочка, например, "чтение атрибутов" в столбце РАЗРЕШИТЬ влияет на удаление и переименование файла?

Команды, по сути, одинаковые:
xcacls 1:\1.txt /p S-1-1-0:rx
subinacl /file c:\1.txt /perm /grant=S-1-1-0=rx
означают 5 галочек в столбце РАЗРЕШИТЬ: файл нельзя изменять (сохранять новую версию на месте старой), но, как я уже сказал, можно удалить. Если столбцы РАЗРЕШИТЬ и ЗАПРЕТИТЬ инверсировать (что описано в предыдущем абзаце), разрешения остаются теми же (чтение, чтение и выполнение), но в ЭЛЕМЕНТАХ РАЗРЕШЕНИЙ вместо строчки РАЗРЕШИТЬ появляется строчка ЗАПРЕТИТЬ и файл нельзя переименовать и удалить, что и нужно.
Но как это сделать?

Вопрос №3: как добиться в xcacls и subinacl, чтобы файл/ключ реестра нельзя было изменить, т.е. сохранить новую версию на месте старой, переименовать и удалить?

-------
Cowboy Bebop


Последний раз редактировалось Celsus, 14-08-2011 в 13:09.


Отправлено: 11:48, 24-07-2011 | #233


Новый участник


Сообщения: 40
Благодарности: 1

Профиль | Отправить PM | Цитировать


Привет. Помогите?!
В виндовс 7 под своею учетной записью хочу полный доступ к папке программ файл иметь.
Как можно через коммандную строку сделать? Мли лучше через реестр?
Убрать доступ всех пользователей и оставить только свою учетку.
Делаю полный доступ к папке, пишет: Отказано в доступе.
Спасибо что переместили.

Последний раз редактировалось Tima182, 28-08-2011 в 19:40.


Отправлено: 19:13, 28-08-2011 | #234


Аватара для Celsus

Пользователь


Сообщения: 142
Благодарности: 10

Профиль | Отправить PM | Цитировать


Изображения
Тип файла: png 0.png
(134.4 Kb, 13 просмотров)
Тип файла: png 1.png
(41.7 Kb, 7 просмотров)
Тип файла: png 2.png
(45.7 Kb, 7 просмотров)
Тип файла: png 3.png
(40.8 Kb, 8 просмотров)

Сделал картинки, чтобы понятнее объяснить причину моего непонимания работы прав доступа в Windows 7.

Обратите внимание на картинку 0 - права не унаследованы от другой папки. В конце я объясню, почему оставил только группу Администраторы.

Примечание: галочки "чтение разрешений" и "смена владельца" я не ставил, чтобы не было путаницы.

Картинка 1
Создан элемент разрешения, в котором 5 галок соответствуют набору "Чтение и выполнение".
Результат. Файл нельзя записать (перезаписать старую версию новой), но множно переименовать и удалить.

Картинка 2
Сделан реверс. Стоявшие галочки "Разрешить" убраны, а там, где не было галочек "Запретить", галочки "Запретить" поставлены (кроме последних двух - чтения разрешений и смены владельца)
Результат. Во вкладке дополнительно "Элемент разрешения" типа "Разрешить" пропал, на его месте появился "элемент разрешения" типа "Запретить". Файл нельзя открыть. Потому что пропали явные разрешения?

Картинка 3
К галочкам с Картинки 2 добавил галочки с Картинки 1.
Результат. Файл снова можно открыть, но нельзя перезаписать. И... его снова можно переименовать и удалить. Почему??? Я не убирал явные запреты на удаление и дозапись, которые на Картинке 2. Каким образом разрешения из Картинки 1 отменяют запрет на переименование и удаление?

Еще один момент, который мне непонятен. Если оставить только запреты из Картинки 2, но добавить группу Пользователи и указать в ней хотя бы 1 ЛЮБОЕ разрешение, файл снова можно будет переименовать и удалить.

Каак сделать так, чтобы файл можно было читать и выполнять, но нельзя было переименовать и удалить. Интересует, как этого добиться не только обычными средствами (вкладкой безопасности), но и с помощью xcacls, subinacl и icacls. С icacls дела не имел, но в xcacls и subinacl можно менять файлы выборочно по типу, например, изменить права доступа для всех файлов с разрешением *.txt в папке или подпапках.

Tima182, На системные папки менять доступ не нужно, иначе перестанет работать система.
Для обычных папок можно использовать xcacls (скопировать файлв в папку Windows/system32) - она нужна для работы из-под командной строки.
Примерно так:
xcacls c:\*.txt /e /t /p "Имя пользователя":доступ
список доступов можно посмотреть, набрав в командной строке xcacls /?

Ключ /t - обрабатываются также подкаталоги и файлы в них
Ключ /e означает, что существующая запись только редактируется - добавляются группы и/или пользователи к уже имеющимся в записи). Если ключа /e нет, то прежние списки пользователей удаляются.
Ключ /p удаляет все "галочки" доступа (разрешений или запретов), ставя только те, что указаны в команде. В этом его отличие от ключа /g, который добавляет "галочки" доступа (разрешений или запретов), которые указаны в команде, к уже имеющимся.
Если в имени пользователя есть пробел, нужно заключить его в двойные кавычки.
*.txt - означает, что обработаются все файлы с таким расширением. Но если нужно обработать только папки с подпапками и файлами в них, то просто указать путь к папке.
Еще раз повторю, что системный диск лучше не трогать вообще.
Если не выходит сменить разрешение, станьте владельцем папки или файла. Поможет subinacl (копировать в windows/system32)
subinacl /file c:\1.txt /perm /grant=Имя_пользователя=права
/perm отменяет все прежние разрешения (чистит список, чтобы создать его по новой)
/file - применяется для файлов и папок. Чтобы узнать, что может subinacl, лучше внимательно посмотреть документацию, хотя могут все равно остаться вопросы.

Чтобы убедиться, что все сделано без ошибок, в файле bat в конце напишите pause, чтобы окошко не закрывалось после выполнения команд.

-------
Cowboy Bebop


Отправлено: 18:33, 02-09-2011 | #235


Забанен


Сообщения: 50
Благодарности: 0

Профиль | Цитировать


Здравствуйте, уважаемые участники дискуссии!

На моем компьютере установлена Windows 7 Ultimate x64 SP1, учетная запись администратора системы

С недавнего времени стали твориться очень странные вещи - когда я подключаю внешний съемный диск USB или флешку, то при копировании этого файла система меня предупреждает, что для копирования на накопитель нужно обладать правами администратора. А администратор видать не я а злой Дядя Степа, который меня и не пускает. Когда я нажимаю кнопку Продолжить, то файл копируется. Но меня удивляет другое - все документы на накопителе открываются только для чтения, выходит, чтобы отредактировать документ я должен его сначала скопировать в Мои документы, а потом отредактировать. Очень весело получается, выходит, операционная система хозяйка всего и вся, а я имею заниженные права на файлы. Для группы Администраторы все разрешения выставлены, в чем может быть дело? Помогите пожалуйста разобраться.

Отправлено: 21:19, 20-10-2011 | #236


Модератор


Moderator


Сообщения: 16826
Благодарности: 3244

Профиль | Сайт | Отправить PM | Цитировать


Призрак, читайте тему.

-------
При заполнении сведений о конфигурации компьютера не забудь поставить флажок: отображать - "Да"
-------------------------------------------------------------------------------------------
Ассоциация VirusNet - помощь и обучение борьбе с вирусами. Некоторые вопросы загрузки в моем блоге


Отправлено: 21:23, 20-10-2011 | #237


Пользователь


Сообщения: 135
Благодарности: 0

Профиль | Отправить PM | Цитировать


Господа, приведите пример комманды, запускаемой от имени админа, и дающий права на файл пользователю.
т.е. история такая
Админ создает файл, скажем "мой_файл.txt"
Но этот файл, по умолчанию не могут изменить НЕадмины.
И вот нужно команда, запускаемая от имени админа, и дающая права на этот файл обычным пользователям.

что-то вроде
some.cmd "мой_файл.txt"

и после этого файл "мой_файл.txt", могут спокойно изменять, удалять неадмины.

спасибо.

Отправлено: 00:53, 25-10-2011 | #238


Ветеран


Сообщения: 27449
Благодарности: 8086

Профиль | Отправить PM | Цитировать


Цитата bilytur:
Админ создает файл, скажем "мой_файл.txt". Но этот файл, по умолчанию не могут изменить НЕадмины. »
Не совсем верно изложено. Ибо не суть важно кто создаёт, а где создаёт.


По теме: ознакомьтесь с прикреплённым постом в заголовке темы.

Отправлено: 01:16, 25-10-2011 | #239


Пользователь


Сообщения: 135
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Iska:
Ибо не суть важно кто создаёт, а где создаёт. »
не в программ файлес, и даже не на диске С.

пробовал разные каталоги не системного диска D
везде результат одинаков.

Цитата Iska:
ознакомьтесь с прикреплённым постом в заголовке темы. »
поробую осилить. там их много...

Отправлено: 01:53, 25-10-2011 | #240



Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 7 » Доступ - [решено] Проблемы с доступом к папкам и файлам .:[все вопросы]:.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - [решено] Корзина (все вопросы и проблемы) miss_nastya Microsoft Windows 7 21 12-04-2010 20:42
Доступ - [решено] Vista и XP-SP3 проблемы с общим доступом к папкам PFMAX Microsoft Windows Vista 1 11-12-2009 09:55
Архиваторы - Все вопросы по файлам "CAB" Hemp Программное обеспечение Windows 23 16-08-2009 01:47
[решено] Подскажите с доступом к папкам!!! Vasko Microsoft Windows NT/2000/2003 5 26-01-2009 12:26
Прочее - проблемы с общим доступом к файлам и принтерам в ХP alexey980 Сетевые технологии 1 19-07-2008 13:53




 
Переход