Erläutern Sie die Ausgabe von ICACLS.EXE Zeile für Zeile und Element für Element

15

Was bedeutet das:

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

Ich denke, die erste bedeutet, dass Benutzer-ID Änderungsberechtigungen für das Verzeichnis erhält - was bedeutet, dass Benutzer Dateien erstellen oder Dateien aktualisieren oder Dateien löschen können. Richtig? Was ist die "NT AUTHORITY \ IUSR" user? Ist das wirklich eine einzelne Benutzer-ID? Ist es die Standard-IIS-Benutzer-ID?

ok, die zweite Zeile Ich denke, bezieht sich auf eine Gruppe. Es erhält die gleichen Berechtigungen.

Was ist mit all jenen Linien mit (I) und (OI) und so weiter. Bitte erkläre.

Cheeso
quelle

Antworten:

23

Von dem Microsoft - Artikel auf ICACLS

Die Einträge sind Benutzer und Gruppen spezifisch für diese Datei (DOMAIN \ USER oder GROUP), sind die Berechtigungen wie folgt aufgelistet:

SIDs können entweder in numerischer oder in Anzeigenamenform vorliegen. Wenn Sie eine numerische Form verwenden, fügen Sie das Platzhalterzeichen * am Anfang der SID ein.

icacls behält die kanonische Reihenfolge der ACE-Einträge wie folgt bei:

  • Explizite Ablehnungen
  • Explizite Zuschüsse
  • Vererbte Ablehnungen
  • Geerbte Zuschüsse

Perm ist eine Berechtigungsmaske, die in einer der folgenden Formen angegeben werden kann:

  1. Eine Folge einfacher Rechte:
    • F (Vollzugriff)
    • M (Zugriff ändern)
    • RX (Lese- und Ausführungszugriff)
    • R (schreibgeschützter Zugriff)
    • W (Nur-Schreibzugriff)
  2. Eine durch Kommas getrennte Liste in Klammern mit bestimmten Rechten:
    • D (löschen)
    • RC (Lesesteuerung)
    • WDAC (Schreib DAC)
    • WO (Eigentümer schreiben)
    • S (synchronisieren)
    • AS (access Systemsicherheit)
    • MA (maximal erlaubt)
    • GR (generic Lese)
    • GW (generisches Schreiben)
    • GE (generisches Execute)
    • GA (generic alle)
    • RD (Daten lesen / Listenverzeichnis)
    • WD (Schreibdaten / Add - Datei)
    • AD (Daten anhängen / Unterverzeichnis hinzufügen)
    • REA (erweiterte Attribute lesen)
    • WEA (erweiterte Attribute schreiben)
    • X (AUSFÜHREN / traverse)
    • DC (löschen Kind)
    • RA (Leseattribute)
    • WA (Schreibeigenschaften)

Vererbungsrechte können vor jedem Perm- Formular stehen und gelten nur für Verzeichnisse:

  • (OI) : Objekt erben
  • (CI) : Container erben
  • (IO) : nur erben
  • (NP) : Vererben Sie nicht
  • (I) : vom übergeordneten Container geerbte Berechtigung

Für Dateien sind die Berechtigungsmasken mehr oder weniger selbsterklärend: Rbedeutet, dass Sie die Datei lesen können, Xdass sie ausgeführt werden kann (als Programm) und so weiter.

Für andere Arten von Objekten müssen Sie MSDN durchsuchen:

Erbrechte in Englisch:

  • (I) "Inherited": Dieser ACE wurde vom übergeordneten Container geerbt.
  • (OI) "Object inherit": Dieser ACE wird von Objekten geerbt, die in diesem Container platziert sind.
  • (CI) "Container erben": Dieser ACE wird von Subcontainern geerbt, die sich in diesem Container befinden.
  • (IO)"Nur erben": Dieser ACE wird geerbt (siehe OIund CI), gilt jedoch nicht für dieses Objekt.
  • (NP)"Nicht verbreiten": Dieser ACE wird an Objekte und Subcontainer mit einer Tiefe von einer Ebene vererbt - er gilt nicht für Objekte in Subcontainern.

Für das Dateisystem „Behälter“ einen Ordner und „Objekt“ ist eine Datei, aber denken Sie daran, dass der ACLs kann auf vielen anderen Arten von Objekten festgelegt werden, von denen nicht alle ein Konzept des „Containers“ haben.

MaQleod
quelle
1
Danke. Ich bin Google-Literat und kann lesen. Aber ich möchte eine englische Erklärung darüber, was es bedeutet, (I) RX zu haben. "container inherit" - Erklären Sie, was dies bedeutet, und beziehen Sie sich auf das von mir bereitgestellte Beispiel.
Cheeso
In diesem Fall müssen Sie einen Crash - Kurs in NTFS - Berechtigungen.
surfasb
1
Wenn Sie Google lesen und schreiben können, dann können Sie „NTFS - Berechtigungen“ google „ACL“ und „Datei- und Registry - Erlaubnis.“ Ehrlich gesagt, ist jede Zeile in laymans Begriffen erklären im Wesentlichen neu zu schreiben für Sie einen ganzen Technet - Artikel.
surfasb
3
Ein Jahr später ... Ja. Viel besser, Danke. Was die anderen anbelangt, die sagen: "Los, lest es", ist das nicht der Superuser? Beantwortung von Fragen, die an anderer Stelle nicht eindeutig beantwortet wurden.
Cheeso
1
Ich fand tatsächlich (I)erwähnt in icacls /?Windows 7. Es hatte auch zwei separate "Löschen" -Rechte - (D)war früher in der ersten Liste enthalten, (DE)stattdessen in der zweiten Liste. Siehe ss64.com/nt/icacls.html . Es sieht aus wie die Dinge leicht seitdem verändert.
Mwfearnley