Wie kann ich Administratoren Zugriff auf einen Ordner gewähren, ohne die aktuellen Berechtigungen zu zerstören?

12

Ich habe einen Ordner, auf den ich von einem Konto aus, das Teil der Administratorgruppe unter Windows 7 ist, nicht zugreifen kann.

Wenn ich die Registerkarte Sicherheit in den Eigenschaften aufrufe, wird "Sie haben keine Berechtigung zum Anzeigen oder Bearbeiten der Berechtigungseinstellungen dieses Objekts" angezeigt.

Wenn ich auf "Erweitert" klicke und zur Registerkarte "Eigentümer" gehe, wird mir mitgeteilt, dass der aktuelle Eigentümer nicht angezeigt werden kann.

Ich kann durch erneutes Zuweisen des Besitzers auf den Ordner zugreifen, dies zerstört jedoch die aktuellen Berechtigungen für den Ordner.

Gibt es also eine Möglichkeit, Administratoren Zugriff auf den Ordner zu gewähren, ohne die Kontrolle zu übernehmen und die aktuellen Berechtigungen zu zerstören?

windows permissions Nigel Hawkins
quelle
Durch das Übernehmen des Eigentums werden die aktuellen Berechtigungen für den Ordner nicht zerstört (oder sollten dies zumindest nicht tun). (Ich habe es gerade ausprobiert und es hat wie erwartet funktioniert - die Berechtigungen waren unverändert.) Um auf der sicheren Seite zu sein, sollten Sie das Befehlszeilentool takeown anstelle der GUI-Tools verwenden. Dieses Tool wird die Berechtigungen definitiv nicht ändern.
Harry Johnston
Nun, nachdem ich den Besitz übernommen habe, sehe ich keine Berechtigungen außer dem Konto, das gerade den Besitz übernommen hat. Andere Ordner scheinen sich ordnungsgemäß zu verhalten. Ich nehme an, es ist möglich, dass der Ordner ohne Berechtigungen für irgendjemanden erstellt wurde oder alle entfernt wurden, aber es scheint seltsam.
Nigel Hawkins
Der Prozess der Übernahme des Eigentums sollte die Berechtigungen überhaupt nicht geändert haben, auch nicht durch Hinzufügen Ihres Kontos. Haben Sie das Befehlszeilentool takeown oder das Dialogfeld Erweiterte Sicherheitseinstellungen des Explorers verwendet?
Harry Johnston
Versuchte es in beide Richtungen. Wie ich bereits sagte, scheinen sich andere Ordner richtig zu verhalten, wenn der Besitzer geändert wird. Ich bin zu dem Schluss gekommen, dass es anfangs für niemanden Berechtigungen gegeben haben muss. Es sah also so aus, als hätte es alle alten Berechtigungen gelöscht, als ich den Besitz an mich nahm.
Nigel Hawkins

Antworten:

12

Einige sorgfältige Grabungen zeigen, dass das Übernehmen von Eigentumsrechten manchmal vorhandene Berechtigungen zerstört und manchmal nicht. Es scheint alles davon abzuhängen, ob Sie versuchen, es rekursiv zu tun . Beachten Sie, dass Windows Sie warnt, wenn vorhandene Berechtigungen ersetzt werden, es jedoch (zumindest in der Benutzeroberfläche) sehr einfach ist, die Nachricht nur zu bestätigen, ohne sie vollständig zu lesen oder zu verstehen.

Um dies zu sehen, benötigen Sie ein Verzeichnis (in diesem Beispiel c: \ SomeFolder), das einem anderen Benutzerkonto gehört und auf das Sie und die Administratorengruppe keinen Zugriff haben.

Befehlszeile

Mit dem Kommandozeilen-Tool "takeown":

TAKEOWN / A / R / F c: \ SomeFolder

du solltest sowas sehen

ERFOLG: Die Datei (oder der Ordner) "c: \ SomeFolder" gehört jetzt der Administratorengruppe.

Sie haben keine Berechtigung zum Lesen des Inhalts des Verzeichnisses "c: \ SomeFolder"

Möchten Sie die Verzeichnisberechtigungen durch Berechtigungen ersetzen, die Ihnen Vollzugriff gewähren ("J" für JA, "N" für NEIN, "C" für ABBRECHEN)?

Beachten Sie, dass, wenn Sie hier mit "Ja" antworten , die Berechtigungen tatsächlich ersetzt werden . Eventuell vorhandene Berechtigungen werden zerstört. Wenn Sie mit "Nein" antworten, haben Sie noch keine Berechtigungen für den Ordner, sind jedoch jetzt der Eigentümer. Sie können sich also wie gewohnt Berechtigungen erteilen, ohne die bereits vorhandenen zu zerstören.

Wenn Sie das rekursive Flag (/ R) nicht angeben, wird keine Warnung angezeigt und der Besitzer wird geändert, ohne dass andere Berechtigungen betroffen sind.

GUI

Sie müssen die Registerkarte "Sicherheit" des Eigenschaftenfensters verwenden, um Änderungen über die GUI vorzunehmen. Dies gibt Ihnen zwei Schaltflächen: "Fortfahren" und "Erweitert". Advanced gibt Ihnen ein Fenster mit den vier Registerkarten "Berechtigungen", "Überwachung", "Eigentümer" und "Gültige Berechtigungen". Weiter gibt Ihnen nur die Registerkarte "Eigentümer".

Wenn Sie einen neuen Eigentümer wählen und markieren Sie das Kästchen „auf Unterordner anwenden“, OK drücken oder anwenden gibt Ihnen ein „Möchten Sie die Berechtigungen ersetzen möchten“ Meldungsfeld , das wiederum wirklich bedeutet das ersetzen Berechtigungen. Wenn Sie das Kontrollkästchen für Unterordner nicht aktivieren, wird keine Warnung angezeigt und alles verhält sich wie erwartet.

Es ist sehr einfach, dieses Meldungsfeld nicht vollständig zu lesen. Nehmen wir an, es ist nur ein weiteres Feld, in dem Sie aufgefordert werden, eine zerstörungsfreie Funktion zu bestätigen, und drücken Sie einfach die Eingabetaste, um sie zu bestätigen. Es ist auch sehr einfach anzunehmen, dass sie nicht wirklich ersetzen können, weil niemand, der vernünftig ist, das jemals tun möchte.

Nigel Hawkins
quelle
3

Wenn Sie in der ACL des Ordners nicht als "Kann Berechtigungen lesen / ändern" aufgeführt sind, können Sie sie nicht ändern, egal wer oder was Sie sind. Alle Benutzer, Administratoren und integrierten Funktionen nt authority\systemwerden vom Sicherheitscode gleich behandelt. (Die systemweite Berechtigung "Besitz übernehmen" ist eine Ausnahme, kann jedoch auch die ACL nicht ändern, sondern nur zurücksetzen.)

Sie müssen als jemand log, der ist erlaubt , dies zu tun, entweder direkt (Benutzername + Passwort) oder - wenn Sie viel Freizeit haben - durch etwas tun SeCreateTokenPrivilege wizardry .

user1686
quelle
Kann ich diese Berechtigung der Administratorgruppe hinzufügen?
Nigel Hawkins
2
Das ist nicht wahr. Der Eigentümer einer Datei kann die Berechtigungen immer sowohl lesen als auch ändern, und der Besitz ändert die Berechtigungen selbst nicht.
Harry Johnston
1
Beachten Sie außerdem, dass ein als Administrator ausgeführtes Programm die Berechtigungen und den Besitz einer beliebigen Datei mithilfe der Sicherungsberechtigung lesen kann. MS hat einfach keine Programme dafür bereitgestellt. :-(
Harry Johnston
1
Sie können das Wiederherstellungsrecht auch verwenden, um Berechtigungen und Eigentümer zu ändern.
Harry Johnston
1
@grawity: Ich habe das Experiment gerade wiederholt (mit einer ACL, die mir keine Erlaubnis erteilt hat) und die ACL wurde nicht zurückgesetzt, als ich den Besitz annahm . Denken Sie wirklich nicht an das Dialogfeld "Klicken Sie auf Weiter, um dauerhaft auf diesen Ordner zuzugreifen" im Explorer, sondern an das Dialogfeld "Eigentümer" auf der Registerkarte "Sicherheit"?
Harry Johnston
0

Es ist in Ordnung, das grün markierte Kontrollkästchen "Eigentümer an Subcontainern und Objekten ersetzen" zu verwenden. Es ist nicht in Ordnung, das rot hervorgehobene Kontrollkästchen "Alle untergeordneten Objektberechtigungseinträge ersetzen" zu aktivieren. Letzteres ersetzt vorhandene ACLs (Berechtigungen), anstatt nur den Eigentümer zu ändern. Dialogfeld "NTFS-Sicherheit"

Iconiu
quelle
Ich gehe davon aus, dass dies ein Windows 10-Dialog ist. Die Windows 7-Version hat dieses Kontrollkästchen nicht.
Nigel Hawkins