Windows Server 2008 - полномочия файла и администратор
Это - то, что я сделал в своем Windows 2008r2
Зарегистрированный как Администратор (контроль учётных записей отключен для тестовой пользы),
Выберите папку
Отредактируйте усовершенствованные полномочия
Снимите флажок, "Включают наследуемые полномочия" и нажимают на кнопку Remove для удаления наследуемых полномочий
Получил сообщение, "Никто не сможет получить доступ к папке за исключением владельца". В этой точке я думал, что у Администратора должен все еще быть доступ, и "никто" не обращается ко мне :)
После ответа хорошо, я потерял весь контроль над окном полномочий и получил сообщение "Доступа запрещен". Единственная опция состояла в том, чтобы взять владение и отложить Администратора с Полным контролем.
Существует ли корень Linux, эквивалентный в Windows, который может иметь доступ к файлу, не предоставляя полный контроль?
В противном случае единственная опция состоит в том, чтобы управлять файлами в Windows, должен дать Полный контроль Администратора во ВСЕ файлы (я исключаю выбирать вариант владения как не практичный)?
Существует ли в Windows корневой эквивалент Linux, который может иметь доступ к файлу без предоставления полного контроля?
Нет. Если ваш пользователь-администратор не имеет разрешений на выполнение действий с файлом (явно или через членство в группе),он не сможет выполнить действие с файлом.
Исключением, которое вы отметили, является владение файлом / папкой. Администратор всегда сможет стать владельцем файла и таким образом изменить права доступа.
Если нет, единственный вариант для администрирования файлов в Windows - предоставить администратору полный доступ ко ВСЕМ файлам (я исключаю считать вариант владения непрактичным)?
Непонятно, что вы имеете в виду, но в целом, если вы хотите, чтобы пользователь управлял файлом или папкой, то да, у них должны быть разрешения файловой системы для этого.
Существует ли в Windows корневой эквивалент Linux, который может иметь доступ к файлу без предоставления полного контроля?
Вы можете заставить системных администраторов использовать простые учетные записи пользователей и предоставить им учетные записи с правами администратора, когда они нужно выполнять административные задачи, например назначать разрешения. В конце концов, все диалоги безопасности теперь поддерживают UAC. Однако повышение прав за счет олицетворения не является легким и практичным в каждой среде или ситуации, и все еще есть странные задачи, которые в лучшем случае затрудняют выполнение запроса только администратором. Большинству сторонних поставщиков, IMX, по-прежнему требуются полные права администратора для систем, на которых установлено их программное обеспечение, потому что разработчики ненавидят документировать, какая безопасность им нужна, а технические специалисты поставщиков ненавидят иметь дело с безопасностью в системе, которой они не будут управлять.
Чтобы ответить на этот вопрос напрямую, эквивалент в Windows корню Linux будет олицетворять учетную запись SYSTEM (NT AUTHORITY \ SYSTEM, также известную как LocalSystem ), что технически возможно, но всегда считалось крайне плохой практикой ( за пределами нескольких узких областей, таких как запросы WMI), и вы никогда не должны этого делать, потому что вам никогда не нужно (и, действительно, учетной записи не разрешен интерактивный вход в систему, и вам не разрешено устанавливать пароль учетной записи, хотя я думаю, что вы выполняете в этом контексте с задачами AT.EXE ). У вас, конечно же, будут продавцы программного обеспечения, которые настаивают на том, чтобы их сервисы по запуску продуктов были СИСТЕМНЫМИ. Опять же, они делают это потому, что разработчики не хотят документировать или поддерживать документацию о том, какие разрешения на самом деле нужны их программе, а не потому, что им действительно нужен доступ к СИСТЕМЕ.
Учетная запись СИСТЕМЫ, как и root, имеет самые высокие разрешения и определенные вещи, которые может сделать только он. Только SYSTEM имеет доступ к файлам, в которых хранятся базы данных безопасности, даже если эти пароли хранятся в зашифрованном виде. Только службы и ядро работают как СИСТЕМА. Вот почему лучше не позволять службам, отличным от Windows, работать как SYSTEM. Это гораздо больше разрешений, чем им нужно.
Однако вы все равно можете запретить СИСТЕМНЫЙ доступ к файлам и папкам. Как вы обнаружили, NTFS может иметь папки или файлы, для которых нет ACE, и поэтому ни одна учетная запись не может получить доступ к файлу или папке, включая SYSTEM (хотя системе всегда разрешено перечислять элемент, ACL и владелец, а не какое-либо содержимое или дочерние элементы объекта). Владелец файла или папки - единственное средство для восстановления доступа в этом состоянии.
Если нет, единственный вариант для администрирования файлов в Windows - предоставить администратору полный доступ ко ВСЕМ файлам (я исключаю возможность перехода на владение как непрактично)?
Не использовать полный доступ непрактично. Вам необходимо назначить группе администраторов Полный доступ к тому, что им нужно администрировать, потому что Полный доступ предоставляет разрешение на изменение . Вы можете попытаться выяснить, какие разрешения вам необходимы для управления всей папкой, используя только компоненты, но вы быстро обнаружите, что вам придется предоставить полный доступ, чтобы иметь возможность выполнять любое реальное администрирование в любом случае .
Take Ownership в первую очередь предназначен для использования, когда права доступа к файлам случайно полностью удалены (как в вашем опыте) или когда учетные записи пользователей удалены / отключены. В отличие от chown , вы можете назначить владение только себе или группе администраторов. Однако в зависимости от того, как работает ваше программное обеспечение для резервного копирования,вам может потребоваться сценарий для управления файлами на ваших файловых серверах.
Также обратите внимание, что администраторы имеют право владеть корневой папкой каждого диска в системе. На самом деле вы не мешаете злонамеренному члену группы что-либо делать. У них уже есть ключи от королевства. Это не глубокая защита, потому что на самом деле нет дополнительных механизмов безопасности. Вам просто нужно запросить право собственности, и вы его получите.
Здесь - это статья, в которой содержится больше информации, чем вы когда-либо хотели знать о списках контроля доступа Windows, включая некоторую хорошую документацию по старому формату записи управления доступом SDDL. . Этот метод немного потерял популярность, потому что Get-ACL и Set-ACL намного проще в использовании ... не то чтобы это много говорило.