Gibt es eine Möglichkeit, die erweiterten Berechtigungen einer Datei in Windows über die Befehlszeile zu ändern?

0

Zur Verdeutlichung: Ich möchte die erweiterte Berechtigung "Berechtigungen ändern" entfernen, da sie auch dann, wenn Sie Berechtigungen von einer Gruppe (in diesem Fall Administratoren) entfernen, icaclsdie Zieldatei bearbeiten oder löschen kann, von niemandem in der Gruppe geht nach wie vor in Dateieigenschaften und bearbeiten kann die Berechtigungen selbst zurück zu geben Voll oder ändern oder Dingsbums.

Ich möchte bei Fragen wie "Warum möchten Sie diese Berechtigungen von den Administratoren des Computers entfernen?" Es reicht also zu sagen, dass ich SYSTEM mit Vollzugriff überlassen habe und alles, was ich brauche, über einen Dienst verwalte, der als LOKALES SYSTEM ausgeführt wird, sodass im Grunde immer noch Zugriff auf die Datei besteht, aber auf die Art, wie auf sie zugegriffen werden muss.

Ich kann in der iCaclsSyntax einfach nichts finden, was es mir erlaubt, die 'Erweiterten' Berechtigungen zu ändern. Dort befindet sich das Element ' Berechtigungen ändern' .

Mike Z
quelle
1
"Wenn Sie Berechtigungen von einer Gruppe entfernen (in diesem Fall Administratoren)" Administratoren können immer etwas rückgängig machen, das von einem Administrator festgelegt wurde. Deshalb heißen sie Administratoren! ;)
DavidPostill

Antworten:

2

Ja, es ist genau dort auf dem icacls /?Hilfebildschirm:

    perm ist eine Berechtigungsmaske und kann in einer von zwei Formen angegeben werden:
        eine Folge von einfachen Rechten:
                [...]
        Eine durch Kommas getrennte Liste in Klammern mit bestimmten Rechten:
                DE - löschen
                RC - Lesesteuerung
                WDAC - Schreibe DAC
                WO - Eigentümer schreiben
                S - synchronisieren
                AS-Access-Systemsicherheit
                MA - maximal erlaubt
                GR - generisches Lesen
                GW - generisches Schreiben
                GE - generisch ausführen
                GA - generisch alles
                RD - Daten- / Listenverzeichnis lesen
                WD - Daten schreiben / Datei hinzufügen
                AD - Daten anhängen / Unterverzeichnis hinzufügen
                REA - Erweiterte Attribute lesen
                WEA - Schreibe erweiterte Attribute
                X - ausführen / verfahren
                DC - Kind löschen
                RA - Attribute lesen
                WA - Attribute schreiben
        Erbrechte können jeder Form vorangehen und werden angewendet
        nur zu Verzeichnissen:
                (OI) - Objekt erben
                (CI) - Container erben
                (IO) - nur erben
                (NP) - Vererben Sie nicht
                (I) - vom übergeordneten Container geerbte Berechtigung

Dies sind die generischen Namen für alle angezeigten "erweiterten" Berechtigungen. "Berechtigungen ändern" heißt "DAC schreiben", da damit die diskretionäre Zugriffssteuerungsliste geschrieben / geändert werden kann.

In den beigefügten Beispielen wird diese Berechtigung ausdrücklich erwähnt:

        icacls file / grant Administrator: (D, WDAC)
        - Erteilt dem Benutzer Administrator das Löschen und Schreiben von DACs
          Berechtigungen zu Datei.

        icacls file / grant * S-1-1-0: (D, WDAC)
        - Erteilt dem Benutzer die durch sid S-1-1-0 definierten Lösch- und
          Schreibe DAC-Berechtigungen in die Datei.

Sie können das Gegenteil des obigen Beispiels tun und /denyihnen explizit die WDAC-Berechtigung erteilen.

Beachten Sie jedoch, dass das Berechtigungsschema zwei Sicherheitsnetze enthält:

  • Der Eigentümer der Datei kann seine Berechtigungen jederzeit ändern, indem er alle Berechtigungseinträge zum Verweigern des Schreib-DAC umgeht. Wenn Sie nicht möchten, dass Administratoren sich zusätzliche Berechtigungen erteilen können, stellen Sie sicher, dass die Datei nicht im Besitz von Administratoren ist (z. B. setzen Sie ihren Besitzer auf SYSTEM).

  • Administratoren erhalten das SeTakeOwnershipPrivilege und können jederzeit den Besitz einer Datei ändern, ohne die Berechtigungseinträge "Schreibberechtigten verweigern". Wenn Sie nicht möchten, dass Administratoren dies tun können, sind sie Administratoren und besitzen bereits das gesamte System.

Grawity
quelle