Windows Vista. Для профессионалов
Шрифт:
Если же вы хотите восстановить DACL из созданного ранее файла, то нужно воспользоваться командой icacls.exe <путь к файлу и его имя> /restore <путь к архиву и его имя>.
Например, Icacls c: \windows\system32\ /restore d: \System32 ACL old /С. Команда восстанавливает DACL для всех файлов, подкаталогов и содержимого подкаталогов папки %systemroot%\system32 из файла System32_ACL_old. Если какой-то файл в данный момент заблокирован, то он будет пропущен программой (благодаря параметру /С). Заметьте, что в команде
Смена владельца файлов и каталогов
С помощью данной программы также очень легко сменить владельца для определенного файла или для всего содержимого каталога. Для этого применяется командаicacls.exe <путь к файлу и его имя или путь к каталогу> /setowner <логин нового владельцах
Например, leads c: \windows\system32\* /setowner administrator /С. Команда изменяет владельца всего содержимого каталога %systemroot% на владельца Администратор. Заметьте, что в команде применяется параметр /С. Он имеет такое же действие, что и в предыдущих командах. При смене владельца можно также использовать параметр /Т. Точнее, параметры /С и /Т можно использовать во всех командах программы icacls.ехе.
Поиск файлов, в DACL которых есть упоминание о SID определенного пользователя
Для реализации этой возможности используется команда icacls.ехе <путь к файлу и его имя или путь к каталогу> /findsid <SID пользователя или группы>. В ней вы можете также использовать параметры /С и /Т.
Изменение DACL
Изменение DACL можно выполнить не только с помощью программы cads.ехе, но и с помощью новой программы icacls.ехе. Но перед изменением DACL сначала вспомним обозначения прав пользователей, которые применяются в программах cacls.ехе и icacls.ехе:
• F – определяет право на полный доступ к объекту;
• М – указывает право на изменение объекта;
• RE – определяет право на чтение и выполнение объекта;
• R – указывает право только на чтение объекта;
• W – определяет право на запись объекта;
• D – указывает право на удаление объекта;
• RC – определяет разрешение на чтение разрешения;
• WDAC – указывает разрешение на запись DAC;
• W0 – определяет разрешение на смену владельца;
• S – указывает разрешение на синхронизацию;
• AS – определяет разрешение на доступ к системе безопасности;
• МА – указывает разрешение на полный доступ к объекту;
• RD – определяет разрешение на просмотр содержимого папок и чтение данных;
• WD – указывает разрешение на создание файлов и запись данных;
• AD – определяет разрешение на создание папок и дозапись данных;
• REA – указывает разрешение на чтение дополнительных атрибутов;
• WEA – определяет разрешение на запись дополнительных атрибутов;
• ЕХ – указывает разрешение на обзор папок и выполнение файлов;
• DC – определяет разрешение
• RA – указывает разрешение на чтение атрибутов;
• WA – определяет разрешение на запись атрибутов.
Для добавления DACL, разрешающих определенное действие, нужно использовать командуicacls.ехе <путь к файлу и его имя или путь к каталогу> /grant <SID пользователя;-: (разрешения через запятую). В этом случае указанное DACL будет добавляться к уже существующему. Если же нужно заменить существующий DACL, то вместо /grant необходимо воспользоваться /grant: г.
Например, такая команда, как Icacls c: \windows\system32\* /grant: r administrator: (D, WO) /С, изменяет разрешения для администратора на разрешение удаления и разрешение смены владельца всех файлов и папок каталога %systemroot%\system32. Как обычно при изменении DACL нескольких файлов, в команде используется параметр /С.
Для добавления DACL, запрещающих определенное действие, нужно использовать команду icacls.ехе <путь к файлу и его имя или путь к каталогу> /deny <SID пользователя>: (разрешения через запятую).
Например, Icacls c: \windows\system32\* /deny administrator: (D,WO) /С. Данная команда запрещает администратору удалять или изменять владельца для всех файлов и папок каталога %systemroot%\system32. Как обычно при изменении DACL нескольких файлов, в команде используется параметр /С.
Для удаления DACL используется команда icacls.ехе <путь к файлу и его имя или путь к каталогу> /remove <SID пользователях
Например, Icacls c: \windows\system32\* /remove administrator /С. Удаляет DACL, упоминающий SID учетной записи Администратор, для всех файлов и папок каталога %systemroot%\system32.
Вы также можете сбросить DACL всех файлов определенного каталога или только определенного файла. В этом случае для него будет применяться наследуемый DACL. Для этого применяется команда icacls.ехе <путь к файлу и его имя или путь к каталогу> /reset.
Программа смены владельца takeown.exe
Наверное, вам знакома ситуация, когда после запрещения полного доступа к файлу вы больше не можете изменить его DACL, так как это запрещено вами же. В этом случае можно попробовать заново получить файл во владение, чтобы сбросить все элементы DACL. Для этого можно использовать программу takeown.ехе.
С помощью данной программы администраторы могут сменить владельца определенного файла или каталога локального или удаленного компьютера на группу Администраторы или пользователя, от имени которого было выполнено подключение к компьютеру.
Синтаксис данной программы следующий: takeown /s <удаленный компьютер> /и <пользователь, от имени которого выполняется подключение к компьютеру> /р <пароль> /F <путь к файлу или каталогу, владельца которых нужно изменить> – <дополнительные параметры>.