|
Пользуясь учетной записью юзера, создал несколько файлов. Затем удалил юзера (так уж вышло :)). Теперь, даже залогинившись Администратором, не могу получить доступ к этим файлам. ОС Windows Whistler (прото-XP) пишет Access is denied. Помогите пожалуйста, бывалые!!! Как под админским аккаунтом заполучить фулконтрол на них?
|
Смени владельца на себя, потом дай себе фулконтрол
|
Step
не СМЕНИ владельца, а ВОЗЬМИ ВО ВЛАДЕНИЕ. В Винед нельзя просто так взять и поменять владельца объекта. |
Спасибо. НО.
Как взять во владение? Еще одна проблема в том, что после этого в винда переключилась на Simple File Sharing (отсутствует вкладка Security в свойствах файла). Обратное переключение мне не представляется возможным, так как эта опция (Use Simple File Sharing) начисто исчезла из Folder Options\View\AdvansedSettings. А ведь была. Скажите, может, это я чего-то не понимаю? Заранее, спасибо. |
Как овладеть -
HOW TO: Take Ownership of a File or Folder in Windows XP Про остальное не знаю, увы:( |
Fidel
А какая разница? Ну возьмешь ты файл во владение, в результате что получится? Ты станешь владельцем файла. Иными словами файл сменит владельца, таким образом, получаем: ВОЗЬМИ ВО ВЛАДЕИЕ = СМЕНИ ВЛАДЕЛЬЦА НА СЕБЯ :) Vital77 А у тебя вообще-то на диске, гле файл NTFS стоит? |
To Step.
Именно NTFS. И никак не пойму, что надо сделать чтобы отключить SimpleFileSharing. Нет этой опции в FolderOptions. Может есть команда какая нибудь? To ALL/ Помогите ламерствующему! |
Fidel
Цитата:
|
...смотри команду cacls...
|
vasketsov
нука-нука:) Раскажи как. Только сначала сам попробуй зделать то, о чем писать будешь. |
Fidel
Я это делал, и не раз. Открываем диалог Security -> ну и так далее до того места где владелец ставится. Там, в отличие от NT, его можно из списка выбрать (в частности, группу админов). Это простой вариант, но в том списке не все юзера и не все встроенные группы и вообще не все примитивы есть. Но само по себе API это позволяет в полном объеме, и как вариант, cacls тебе уже назвали. |
vasketsov
А ты в NT никогда внимания не обращал на тот факт, что когда админом забираешь файл, то потом его владелецем является локальная группа Administrators? Это еденственное исключение из правила "кто овладел - тот и владелец". Цитата:
Так что - учите матчасть.:) |
Fidel
Цитата:
А кто в списке есть - это проблема только списка, а никак не принципиальной возможности самой установки Owner-а. Никто ж не заставляет именно этим инструментом пользоваться. К тому же, кто у меня имеет право захвата во владение на компе - одному мне и известно, кого хочу, того и напишу, это право еще в NT4 правилось замечательно, кому дать такие привилегии, то что по умолчанию там только группа админов - безусловно правильно, но это не единственно возможный вариант. А матчасть - дело хорошее :up: |
vasketsov
Ты путаешь права на объекты с общисистемными привелегиями. А привилегия овладения объектами дает возможность ТОЛЬКО ТЕБЕ ВЗЯТЬ объект во владение при отсутствии ПРАВА сделать это в АCL объекта. и нет никакой возможности стандартными средствами подсунуть другого владельца принудительно - это былы бы дыры в подсистеме безопасности. Дай самодельной группе привилегию Take Ownership, войди в группу, и посмотри кто будет в списке. |
Fidel
Да чего ты к этому списку привязался-то? При чем тут он? Это что, единственный путь? Цитата:
Цитата:
|
vasketsov
Гони ссылку на статью, где написано как сделать ЭТО через API. Тебе я не верю, извини. |
Fidel
зачем ссылка, дарагой! Беру XP, выбираю любой файл- щелкаю мышой по правой кнопке (извини за интимные подробности), выбираю свойства - безопасность и там внизу есть кнопочка - дополнительно - пробую и среди всего многообразия выбираю --владелец, и что характерно, вижу всех тех, кого я имел неосторожность включить в группу администраторы. Попробовал назначить жену владельцем моего файла- получилось! Попробуй и ты - ощущения необыкновенные!!!:) :) |
MBel
Да, женщины конечно могут сподвинуть на ратный подвиг, но что бы такой!:) Я надеюсь ты ей не отдал свою базу Аськи :biglaugh: А если серьезно, то я тебе НЕ ВЕРЮ. Ты жену владельцем файла сделал когда был залогинен под ее аккаунтом. И не говори обратного. Цитата:
|
Fidel
Ты останешься в шляпе, а мне придется наверное развестись! работал под ее именем, а вторая запись, которая присутствует во владельцах очень похожа на мой аккоунт (ну имя компьютера совпадает с моим аккаунтом, а то, что это группа Администраторы я и не заметил) Ты во всем прав! |
Fidel
Цитата:
У меня дома стоит MSDN2002Jan, в нем вводишь для поиска "Take ownership" - и первой же статьей это вываливается, только там не пример кода, а описание. Думал, на msdn.microsoft.com эту статью найти - чего-то не нашлось, так что завтра ее запощу полностью, с ее уникальным адресом в библиотеке. Причем, там прямо английским по белому написано, что в тот список только админы и вносятся, чтоб злобные юзвери не могли ниче похакать (более чем смешная защита), так что дело не в том списке вовсе, и в копировании экрана смысла нет. |
vasketsov
Я жду этого самого "английским по белому". :) Кажеться ты что-то не так понимаешь. Надеюсь мы по прежнему обсуждаем вопрос "Можно ли сделать пользователя владельцем файла (объекта в общем случае) без его (пользователя) ведома?" |
Fidel
Гляди сам. Адрес такой: ms-help://MS.MSDNQTR.2002JAN.1033/w2krk/html/dsce_ctl_gstb.htm Судя по всему, это один из файлов документации из серверного рескита что у меня установлен, почему и не нашлось это в онлайне. Выделенный фрагмент и предлагаю твоему вниманию, особенно то что в нем подчеркнул. Картинки, естественно, не запэйстились. Далее сама статья. Access Control How Owners are Assigned and Changed Every object, whether it is in Active Directory or in an NTFS volume, has an owner, usually the user who created the object. The owner has an implied right to allow or deny other users permission to use the object, and this right cannot be withdrawn. Among other permissions, owners can give other users permission to Change Permissions (WRITE_DAC). This permission, unlike the owner's inherent right, can be withdrawn. By default, a new object's owner is the security principal identified as the default owner in the access token attached to the creating process. When an object is created, the SID stored in the access token's Owner field is copied to the security descriptor's Owner field. The default owner is normally an individual—the user who is currently logged on. The only exceptions occur when the user is a member of either the Administrators group or the Domain Admins group. In both cases, the Owner field in the user's access token contains the SID for the group, not the SID for the individual user account. The assumption is that administrative accounts are used only to administer the system and not for any individual purpose. As a result, objects created by one administrator can be managed by other administrators in the same group. If an administrative group such as Administrators owns an object, all members of the group share the owner's inherent right to change permissions for the object. This fact frequently surprises administrators. For example, suppose Alice logs on to an account in the Administrators group, creates a file, and then denies Bob permission to modify it. Because Alice is a member of the Administrators group, the group owns the file. If Bob is also a member of the Administrators group, he automatically has Change Permissions authority and can give himself permission to modify the file—despite Alice's effort to prevent him from modifying it. Owners of NTFS objects can allow another user to take ownership by giving that user Take Ownership permission. Owners of Active Directory objects can do the same thing by giving another user Modify Owner permission. (Both permissions map to the same access right, WRITE_OWNER. The only difference between the two permissions is what they are called in the user interface.) In addition, certain users can take ownership without having permission if they have been assigned the Take ownership of files or other objects (SeTakeOwnershipPrivilege) privilege. By default, this privilege is assigned only to the Administrators group. When a user takes ownership of an object, the default owner SID in the user's access token is copied to the owner field of the object's security descriptor. If a member of the Administrators group takes ownership (or, for Active Directory object, a member of the Domain Admins group), the default owner is the group, not the individual user. For example, Figure 12.19 shows the Owner tab for a Folder object created by Bob, a member of the Administrators group. Enlarge figure Figure 12.19 Owner Tab for a Folder Object Even though Bob created the folder, the Owner tab shows the object's current owner as Administrators. When the object was created, the SID in the Default Owner field of Bob's access token was placed in the Owner field of the object's security descriptor. Because Bob is a member of Administrators, his access token specified Administrators as the default owner, so Administrators became the owner of the object. Figure 12.19 also shows that Bob has the option to take ownership of the object himself. He can simply select his name in the Change owner to list and then click Apply. However, if Bob takes ownership, another member of Administrators can always retake ownership on behalf of the entire group. In fact, members of Administrators can always take ownership of any object, no matter who originally owned the object. This capability is built into the operating system and cannot be removed. Note that the Owner tab shown in Figure 12.19 also includes a checkbox for Replace owner on all subcontainers and objects. If Bob takes ownership of this folder, he can take ownership of all subfolders and files at the same time. Bob has this option because he is a member of Administrators. Ordinary users have the option only if, in addition to having Take Ownership permission for the parent object, they also have Take Ownership permission for all child objects. The Owner tab shown in Figure 12.19 has no option for giving ownership to another individual. That capability is not exposed in the user interface as a safeguard against unscrupulous users who might take ownership, do something wrong, and then cover their tracks by giving ownership to someone else. However, the capability does exist for programs. If a process has WRITE_OWNER access to an object, it can write new information in the Owner field of the object's security descriptor. You can track which users take ownership of objects by setting an audit control on take ownership events. For example, Figure 12.20 shows that auditing is enabled for all Take Ownership access to the top-level folder, Public$, and all subfolders and files. Whenever a user or group takes ownership of the parent object or any child object, the event is recorded in the security log. Enlarge figure Figure 12.20 Auditing tab for a Folder Object For information about how to enable auditing, see Windows 2000 Server Help. Who Owns It? To find out who owns any object, you must have Read Permissions (READ_CONTROL) access to the object. If you have the necessary authorization, getting the name of an object's owner is fairly simple. To determine who owns most objects, right-click the object, then click Properties. In the Properties dialog box, click the Security tab, and then click Advanced. In the Access Control Settings dialog box, click the Owner tab. The name of the object's owner is shown after Current owner of this item. For file and folder objects, you can see the ownership of several objects all at once. Open a command console, change to the directory in question, and then type DIR /Q. The output from this command lists the names of owners in one column, and the names of objects in the next. The name of the owner is omitted for any object for which you do not have Read Permissions access. To determine who owns a registry object, run Regedt32. Select the object in question, then choose Owner from the Security menu. The Owner dialog box displays the name of the object and the name of its owner. — -------------------------------------------------------------------------------- Send feedback to MSDN © 2002 Microsoft Corporation. All rights reserved. |
vasketsov
Уговорил:) :up: Дело за малым - стать админом, придумать как приколоться и найти утилитку подходящую.:) |
А у меня случается такое: создаю папку или копирую на винт файл с дискеты, открываю папку (файл), работаю в ней (с ним), потом, допустим, решаю удалить папку (предварительно опустошив ее или с файлами) (переместить файл в другую папку), а мне система пишет: не могу удалить папку (переместить файл) - оказывается у меня, пользователя с адмискими полномочиями, нет разрешений на эти действия. Иногда по этой причине не открываются архивные файлы: комп сообщает "неизвестный формат архива". Все проблемы исчезают, когда из вкладки "безопасность" (у меня WinXP professional) даю себе полный доступ к папке (файлу).
Никто не может подсказать, куда деваются разрешения на доступ пользователей из группы администраторов к папкам и файлам (иногда из разрешенных пользователей файла остается только SYSTEM) и как избавится от их постоянного пропадания в самый неподходящий момент? |
Fidel
Да я сам припух немеренно когда это прочитал. :o Наверное напишу чего-нить маленькое, на пару кил, что будет это делать, как только время появится для сих изысканий. |
vasketsov
Это будет :kruto: RawdyYates разберись с наследованием прав на NTFS |
|
vasketsov
Заценил твое творение. Круто. :up: :up: :up: По настоящему. |
Fidel
На самом деле у меня осталось некое непонимание того, что на NT4 прога тоже работает. Насколько я помню по докам, она не должна этого делать. То ли я неправ, толи в M$ накосячили. ALL Может кто прояснить ситуацию с этим? может урл какой найдется или еще что? |
| Время: 15:36. |
Время: 15:36.
© OSzone.net 2001-