Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 7 (http://forum.oszone.net/forumdisplay.php?f=95)
-   -   Как получить права на файл или реестр из командной строки и вернуть всё как было (http://forum.oszone.net/showthread.php?t=196332)

hb860 11-01-2011 10:26 1585928
Как получить права на файл или реестр из командной строки и вернуть всё как было
 
Этот вопрос я часто слышу от знакомых, в личку ОСЗОНЕ, и среди посетителей форума он явно актуален. Кто-то готовит пакеты оформления и меняет файлы, кто-то вносит правки в защищенные области реестра, кто-то просто мечтает стать Вадимом Стеркиным :D
Я неоднократно слышал просьбы добавить функциональность "овладевания" из командной строки в TakeOwnershipEx. Но нет. Я не буду изобретать велосипед.
Всем, кому актуальна данная задача, я рекомендую воспользоваться утилитой SetACL: http://helgeklein.com/

Со своей стороны я постарался подготовить краткий обзор с практическими примерами, который позволит пользователю быстро войти в курс дела:
SetACL: получаем права доступа на реестр или файл из командной строки

myhouse_1991 11-01-2011 11:58 1585991
В любом случаи мне непонятно, почему нужно делать постоянно дополнительные телодвижения для того, чтобы администрировать свой же компьютер с учётной записью администратора - Windows 7 в этом плане явно проигрывает. Написано в описании группы Администраторы "имеют полные, ничем неограниченные права доступа к компьютеру или домену", то на деле всё почему-то наоборот...

Vadikan 11-01-2011 12:08 1586000
Цитата:
Цитата myhouse_1991
В любом случаи мне непонятно, почему нужно делать постоянно дополнительные телодвижения для того, чтобы администрировать свой же компьютер с учётной записью администратора - Windows 7 в этом плане явно проигрывает. »
Почему проигрывает? Она выигрывает за счет укрепления безопасности, что достигается введением системной учетной записи TrustedInstaller. Администрировать компьютер вам это не мешает, кстати. Мешает это лишь тем, кто пытается вносить изменения в системные файлы и разделы реестра, но это не предусмотрено нормальными сценариями использования ОС. Кто хочет, тот лезет, ковыряет и отвечает за последствия.

Цитата:
ИД безопасности TrustedInstaller

В операционных системах Windows Server® 2008 и Windows Vista® большинство файлов операционной системы принадлежат ИД безопасности TrustedInstaller, который является единственным ИД безопасности, имеющим полный контроль над ними. Цель состоит в том, чтобы предотвратить автоматическую замену файлов операционной системы процессом, работающим в качестве административного или под учетной записью LocalSystem. Чтобы удалить файл операционной системы, необходимо стать владельцем этого файла, а затем добавить для файла элемент управления доступом (ACE), который разрешает удалить его. Это помогает защититься от процесса, работающего под учетной записью LocalSystem и имеющего метку целостности System; процесс с более низким уровнем целостности не сможет повысить свой уровень для смены владельца файла операционной системы. Например, некоторые службы могут работать со средним уровнем целостности, даже если они работают под учетной записью LocalSystem. Такие службы не могут заменять системные файлы, что предотвращает возможность использования службы для замены файлов операционной системы.

myhouse_1991 13-01-2011 22:51 1588145
Цитата:
Цитата Vadikan
Почему проигрывает? Она выигрывает за счет укрепления безопасности, что достигается введением системной учетной записи TrustedInstaller.
Это всё сказываются привычки с Windows XP. Я там обычно работаю от пользователя с пониженными привилегиями, а когда нужно что-то "проадминистрировать" - использую повышенные привилегии, где все двери уже открыты. В новой реализации придется ещё и отпирать некоторые двери вручную и при этом не забывать закрывать...

Цитата:
Цитата Vadikan
Мешает это лишь тем, кто пытается вносить изменения в системные файлы и разделы реестра, но это не предусмотрено нормальными сценариями использования ОС.
Например: редактирование CLSID в HKLM с целью добавления нового контекстного меню считается ненормальным использованием ОС?
А из изменений файлов - я лишь подмениваю utilman.exe на диспетчер задач (но не напрямую - я делаю вид, что хочу Debug'нуть процесс), чтобы иметь возможность запускать его после нажатия CTRL+ALT+DEL и Win+U. Это мне нужно, когда теряю контроль над своим рабочим столом из-за какой-то программы, но я знаю, что нажатия CTRL+ALT+DEL нельзя перехватить обычным способом и он сменит рабочий стол на другой, где я смогу "прикончить" нарушителя.

Avalanche 13-01-2011 23:08 1588153
Цитата:
Цитата myhouse_1991
Windows 7 в этом плане явно проигрывает »
могу угадать, линукс даже если и жил на вашем компьютере, это было минут 5-7, не больше. после проигрыша вин хп в плане безопасности ( :tomato2: :tomato2: :tomato2: ) был успешно удален с фразой "пойду дальше думать, из-за чего у меня там хп лагает".

myhouse_1991 13-01-2011 23:26 1588162
Цитата:
Цитата Avalanche
линукс даже если и жил на вашем компьютере
Я предпочитаю устанавливать дистрибутив, а не голое ядро. Первый дистрибутив Debian у меня долго не жил - столкнулся после установки на проблему с неправильным отображением кириллицы в консоле (нужно было UTF-8 на KOI8-R поставить), пытался решить, пока не получилось т.к. после установки другой кодировки столкнулся с другими проблемами...

Цитата:
Цитата Avalanche
"пойду дальше думать, из-за чего у меня там хп лагает".
У меня компьютер всегда работает в режиме энергосбережения и при 750 MHZ вместо 1500 MHZ прекрасно работает.

P.S. Да и кроме того у них даже в редакторе реестра до сих пор нельзя путь писать вручную и нет поддержки COPY/CUT/PASTE...

Vadikan 13-01-2011 23:33 1588165
Цитата:
Цитата myhouse_1991
Например: редактирование CLSID в HKLM с целью добавления нового контекстного меню считается ненормальным использованием ОС? »
Конечно, нет. Это не предусмотрено разработчиками системы в качестве пользовательской функции, а подавляющему большинству пользователей это вообще не нужно. Но эта возможность существует, и ее можно использовать. И я не вижу ничего страшного в том, что по умолчанию администратор не может сделать это беспрепятственно. Вы же разобрались, как это сделать, и это было не так уж сложно.

Цитата:
Цитата myhouse_1991
Это всё сказываются привычки с Windows XP. »
Я заметил. Года через 3-4 от них не останется и следа, а именно столько и работают на новой платформе люди, сразу перешедшие на Vista :)

hackroute 24-02-2011 10:42 1620553
Цитата:
Цитата Avalanche
могу угадать, линукс даже если и жил на вашем компьютере, это было минут 5-7, не больше. после проигрыша вин хп в плане безопасности »
незнаю что вы так про линукс то сразу... там под sudo или su можно делать все... ведь там админ бог, а вот в виста и 7 уже админ никто... также и система "запустить от имени администратор"

неповерите пытался установить виндовблиндс, под конец установки выдает что мол у меня нет прав админа, хотя запускал из под учетки админ и из обычной но от имени админа, становился владельцем всего винта, получал полные права на всё, однако установить так и несмог... если я запускаю от админа наверно же надо понимать что я это делаю сознательно, если прога хочет заменить защищенные файлы спроси меня какие файлы или создай список, нет молча доступ закрыт и всё... в винде явно нехватает нормально распределения прав где же тот самый судо который нас спасёт :)

спасибо за сетацл добавил в меню ДосНавигатора, терь стало гораздо удобнее и быстрее работать с сисфайлами, або уже думал придется самому такую вещь писать, слава богу забрел сюды :)

gokors 25-02-2013 13:39 2098545
Удобная утилита для этих целей (русский интерфейс и бесплатность) - TakeOwnershipEx. Забираем здесь.

Vancouver 25-02-2013 14:03 2098559
gokors, это сайт hb860 :)


Время: 12:06.

Время: 12:06.
© OSzone.net 2001-