Восстановление прав доступа используя шаблон acl

Урок 18. Расширенные права доступа Linux с помощью ACL

Что делать, если для файла требуется установить различные права доступа для различных пользователей. Например, файл Report.pdf имеет следующие права доступа:

Что делать в этом случае?

ACL бывает 2-х типов:

Как видно ACL пока не настроен для данного файла. Настроем его исходя из вышеуказанных требований. Для установки расширенных прав используется следующая команда:

-m ( —modify=acl ) используется, когда необходимо модифицировать ACL.

u ( user ) означает пользователя.

Можно ли установить расширенные права для группы и остальных пользователей?

Да, можно. Для этого используются следующие ключи:

А как узнать, что у файла установлены расширенные права доступа?

А как удалить пользователя или группу из ACL?

После удаления ACL исчезает и символ “+”:

Мы рассмотрели ACL прав доступа. Теперь рассмотрим ACL по умолчанию. При создании списков доступа по умолчанию добавляется опция -d ( —default ), кроме того необходимо также указать и стандартные права доступа. Для примера создадим

Проверим что получилось:

Но ведь ничего не изменилось!

Все верно, права по умолчанию применяются только к вновь созданным и скопированным файлам. Создадим файл fileAfterACL и каталог folderAfterACL и посмотрим на их права:

Теперь ACL по умолчанию работает так, как надо.

А для чего используется маска во всех ACL?

Маска говорит о максимально назначенных правах для пользователей. Она вычисляется автоматически при добавлении пользователя.

Например, ACL имеет 2-х пользователей:

А как можно вручную изменить маску?

Список используемых команд:

Как освободить место на диске в Windows 10

В то время как устройства для хранения данных становятся все больших и больших объемов, а цена за один гигабайт памяти неумолимо падает, наши с вами запросы тоже не стоят не месте. Все фотографии, 4К-видео, скачанные с торента игры нужно где-то хранить. Облачные сервисы не всегда являются решением проблемы, а сообщения о том, что место на диске заполнено все-таки не дают спокойно жить. Как с этим быть? Первым делом, перед тем, как начать радикальные действия, направленные на покупку новых носителей, можете воспользоваться нашим небольшим гайдом, где собраны пять простейших советов по освобождению памяти на компьютере.

Удалите уже наконец-то ненужные файлы

Практический каждый из нас имеет такую дурную привычку, как хранить файлы, которые уже никогда не понадобятся. Они лежат где-то во вложенных папках, и мы особо даже не обращаем внимания на то, сколько памяти они занимают. Отчасти это из-за того, что Windows не показывает размер папки изначально, а каждый раз смотреть свойства — не благодарное дело. Но в «дестяке» и без этого хватает утилит для отслеживания свободного и занятого пространства на жестком диске.

В параметрах системы есть пункт Хранилище (Win + X → Система → Хранилище), который выдает достаточно детальную информацию обо всех файлах на компьютере. Выбрав любой диск из списка, вы можете увидеть, что Windows 10 классифицирует содержимое по нескольким категориям: документы, музыка, изображения, игры и так далее. К примеру, во вкладке Временные файлы можно удалить файлы из папки Загрузки, избавиться от мусора в Корзине и сделать тому подобные вещи.

Пройдитесь таким образом по всем категориям. Наверняка вы найдете много лишнего. Я так освободил около 10 ГБ памяти.

Очистите историю файлов

Операционная система Windows имеет очень интересную функцию под названием Хранение истории файлов. Данная утилита сохраняет копии ваших файлов из Библиотеки, Рабочего стола и еще нескольких папок, давая возможность их восстановить в случаи потери или повреждения. Фишка полезная, но занимают драгоценную память.

Все, что вам нужно — это открыть Панель управления (Win + X → Панель управления) и выбрать пункт История файлов. Лучше всего вводите этот запрос через поиск. В появившемся окне откройте Дополнительные параметры и нажмите на ссылку Очистить версии.

Также я бы советовал изменить параметры сохранения копий файлов. По умолчанию выбрано сохранение Каждый час. Вы можете выбрать более длительный период. К примеру, Каждые 6 или 12 часов. Подобные манипуляции можно провести и со сроком хранения этих самых копий.

Удалите программы, которые вы не используете

Также готов поспорить, что у вас на компьютере есть программы, которыми вы уже давно не пользуетесь. У меня таких оказалось всего три штуки. В общей сложности они, конечно, занимали не так и много — около 300 МБ. Но вполне возможно, что у вас эта отметка может дойти до нескольких гигабайт.

Думаю, вы прекрасно понимаете, где посмотреть список со всеми установленными программами, но на всякий случай напомню: Win + I → Система → Приложения и возможности. Этот пункт позволяет сортировать список приложений и по имени, и по занимаемому объему, и по всему, чему вы хотите. В этот списке, к слову, собраны не только классические программы для рабочего стола, но и универсальные приложения Windows 10.

Удалите предыдущие версии Windows

При обновлении до Windows 10 без форматирования или при установке новой тестовой сборки, копия предыдущей версии системы всегда будет храниться в папке Windows.old. В принципе, данные оттуда можно использовать для отката, но чаще всего все те файлы попросту занимают лишнее место на вашем компьютере. Но в Microsoft все продумали, поэтому установили утилиту по очистке этой самой папки.

Все, что вам нужно — открыть свойства системного диска и нажать кнопку Очистка диска. После быстрой проверки появится окно, где нужно выбрать параметр Previous Windows Installation(s) и нажать на кнопку очистки. Данный ход конем может освободить вам до 15 ГБ памяти на системной диске.

На этом все. Если материал был полезен, то обязательно ставьте лайки. Другие тексты из данной серии можете прочитать вот по этой ссылке.

What does NTFS permission in Windows do?

In Windows networks, you can set sharing permissions for drives and folders. NTFS permissions, as its name implies, are available to drives formatted with NTFS, which affects local users as well as network users. To be specific, you can only access files or folders with permissions, regardless of where the user is connecting.

And the files in NTFS drives have a Security attribute compared to those in FAT32 formatted drives. You can access it with this approach: open a file in the NTFS partition > right-click it and select Properties > General > Advance. You could see two options there: File attributes and Compress or Encrypt attributes.

Removing permissions

To remove a permission from a user (or group), you just have to remove the corresponding ACE from the object’s ACL. Don’t forget to disable the inheritance from that object beforehand (if the target is a directory). For instance, to remove the Everyone identity from the dir3 directory, we will use the icacls command, as shown below:

icacls RnD\dir3 /inheritance:d /t /c
icacls RnD\dir3 /remove:g Everyone /t /c

• In the first command, the /inheritance:d parameter disables the inheritance on the directory and copies the ACEs. To directly disable the inheritance without copying the ACEs, and then remove the inherited ACEs, you could use /inheritance:r; however, this operation is a bit risky. You might get yourself locked out, as this could remove your own access. To reenable the inheritance, use the /inheritance:e
• In the second command, the /remove:g parameter removes the grant permissions from the Everyone To remove the deny permissions, use the /remove:d parameter.

Removing an ACE from object ACL using the icacls command

Способ 2. Использование утилит командной строки takeown и icacls

Примечание. Этот способ можно применить только для получения доступа к файлам или папкам, но не к разделам реестра.

Использование утилиты командной строки takeown для изменения владельца объектов

1. Откройте командную строку (cmd) от имени администратораПримечание. Запуск от имени администратора в данном случае обязателен независимо от того, какими правами обладает учетная запись, в которой вы работаете в данный момент. Исключение может составлять только случай, когда вы работаете во встроенной учетной записи Администратор, которая по умолчанию отключена.
2. Для назначения текущего пользователя владельцем файла выполните команду takeown /f «<полный путь к файлу>». Пример:
3. Для назначения текущего пользователя владельцем папки и всего ее содержимого выполните команду takeown /f «<полный путь к папке>» /r /d y. Пример: Параметры, используемые в команде:
   • /f — шаблон для имени файла или папки, поддерживает подстановочные символы, например takeown /f %windir%\*.txt
   • /r — рекурсия: обрабатываются все файлы и подкаталоги в указанной папке
   • /d — применяется совместно с /r для подавления запроса получения доступа к каждому файлу или подкаталогу
   • y — применяется совместно с /d для подтверждения смены владельца каждого файла или подкаталога
4. Для назначения группы Администраторы владельцем файла или папки используются такие же команды, но с параметром /a. Примеры:

   Полный синтаксис утилиты командной строки takeown вы можете получить командой takeown /?

Использование утилиты командной строки icacls для изменения разрешений объектов

1. Для изменения разрешений файла используется команда icacls <полный путь к файлу> /grant <имя пользователя или группы>:F /c /l. Пример: Параметры, используемые в команде:
   • /grant — предоставление указанных разрешений
   • :F — предоставление полного доступа указанной учетной записи или группе
   • /c — продолжение обработки при файловых ошибках, ошибки выводятся на экран
   • /l — используется для обработки символьных ссылок, с этим параметром обрабатывается сама ссылка, а не ее целевой объект

   В примере группе Администраторы предоставлены разрешения Полный доступ.

2. Для изменения разрешений папки используется команда icacls <полный путь к папке> /grant <имя пользователя или группы>:F /t /c /l /q. Пример: Параметры, используемые в команде:
   • /grant — предоставление указанных разрешений
   • :F — предоставление полного доступа указанной учетной записи или группе
   • /t — обрабатываются все файлы и подкаталоги в указанной папке
   • /c — продолжение обработки при файловых ошибках, ошибки выводятся на экран
   • /l — используется для обработки символьных ссылок, с этим параметром обрабатывается сама ссылка, а не ее целевой объект
   • /q — подавляются все сообщения об успешной обработке, сообщения об ошибках будут выводиться на экран

   Полный синтаксис утилиты командной строки takeown вы можете получить командой takeown /?

Granting User Permissions to a File and Folder

From learning the command’s basic syntax, it’s time to set up some basic permissions to a file and folder. The command allows you to grant, deny or remove permissions from a file or folder via switches. Let’s cover how these switches are used.

Perhaps you’re unable to access or modify a file or folder. In that case, you can grant the user the appropriate permission with the switch.

Below, the command will grant () full permissions () to a user () on the file.

Granting permissions to a user on a folder is different from how you grant permission on a file.

Below, the command will grant () read permissions () to a user () on the folder.

Displaying grant switch output in icacls command

The command also allows you to set special permissions to a file or folder. Below, you’re granting () delete () and read data/list directory () permissions to a user () on a folder ().

Displaying grant switch output with advanced parameters

Просмотр и изменения ntfs прав на папки и файлы с помощью icacls

Текущие права доступа к любому объекту на NTFS томе можно вывести так:

icacls ‘C:ShareVeteran’

Команда вернет список пользователей и групп, которым назначены права доступа. Права указываются с помощью сокращений:

• F – полный доступ
• M – изменение
• RX – чтение и выполнение
• R – только чтение
• W – запись
• D – удаление

Перед правами доступа указаны права наследования (применяются только к каталогам):

• (OI)— наследование объектами
• (CI)— наследование контейнерами
• (IO)— только наследование
• (I)– разрешение унаследовано от родительского объекта

С помощью icacls вы можете изменить права доступа на папку.

Чтобы предоставить группе fs01_Auditors домена resource права чтения и выполнения (RX) на каталог, выполните:

icacls ‘C:ShareVeteran’ /grant resourcefs01_Auditors:RX

Чтобы удалить группу из ACL каталога:

icacls ‘C:ShareVeteran’ /remove resourcefs01_Auditors

С помощью icacls вы можете включить наследование NTFS прав с родительского каталога:

icacls ‘C:ShareVeteran’ /inheritance:e

Или отключить наследование с удалением всех наследованных ACEs:

icacls ‘C:ShareVeteran’ /inheritance:r

Также icacls можно использовать, чтобы изменить владельца файла или каталога:

icacls ‘C:ShareVeteran’ /setowner resourcea.ivanov /T /C /L /Q

Access control lists

In computer security, ACL stands for «access control list.» An ACL is essentially a list of permission rules associated with an object or resource. Each permission rule in an ACL is known as an access control entry (ACE), which controls access to an object by a specified trustee, such as a person, group, or session. These types of access control lists are called discretionary access control lists (DACLs). In a DACL, permissions are generally set by the administrator or owner of the object. The NTFS permissions in Windows are an example of a DACL.

Windows supports the following types of permissions in a DACL:

1. Basic permissions
   • Full access (F)
   • Modify access (M)
   • Read and execute access (RX)
   • Read-only access (R)
   • Write-only access (W)
2. Advanced permissions
   • Delete (D)
   • Read control (RC)
   • Write DAC (WDAC)
   • Write owner (WO)
   • Synchronize (S)
   • Access system security (AS)
   • Maximum allowed (MA)
   • Generic read (GR)
   • Generic write (GW)
   • Generic execute (GE)
   • Generic all (GA)
   • Read data/list directory (RD)
   • Write data/add file (WD)
   • Append data/add subdirectory (AD)
   • Read extended attributes (REA)
   • Write extended attributes (WEA)
   • Execute/traverse (X)
   • Delete child (DC)
   • Read attributes (RA)
   • Write attributes (WA)

The letters in parentheses indicate the short notation you will use with the icacls command when setting a particular permission. For example, to grant test.user a write permission on file1.txt, you will use icalcs as shown below:

icacls file1.txt /grant test.user:W

Don’t worry about the command if you don’t understand it yet; I just wanted to show what the letters in parentheses really mean at this point. To grant full access, you would just write test.user:F instead of test.user:W.

Since you will see the terms ACL and ACE a lot throughout this guide, the following image will help you clearly understand and distinguish them:

Understanding ACL and ACE

Синтаксис Icacls

Сохраняет списки DACL для файлов и папок, соответствующих имени, в aclfile для последующего использования с /restore

Обратите внимание, что списки SACL, владелец или метки целостности не сохраняются

Применяет сохраненные DACL к файлам в каталоге.

Изменяет владельца всех совпадающих имен. Этот вариант не требует смены владельца; используйте вынос.exe для этой цели.

Находит все совпадающие имена, содержащие ACL, в которых явно упоминается Sid.

Находит все файлы, ACL которых не соответствуют канонической форме или длина которых не соответствует количеству записей ACE.

Заменяет ACL унаследованными ACL по умолчанию для всех соответствующих файлов.

Явно добавляет ACE целостности ко всем соответствующим файлам. Уровень должен быть указан как один из: L M H

Параметры наследования для ACE целостности могут предшествовать уровню и применяются только к каталогам.

Идентификаторы могут быть представлены как в числовой, так и в понятной форме имени. Если задана числовая форма, добавьте перед Sid звездочку (*).

/T	Указывает, что эта операция выполняется для всех соответствующих файлов/каталогов ниже каталогов, указанных в имени.
/C	Указывает, что эта операция продолжается при всех ошибках файла. Сообщения об ошибках по-прежнему отображаются.
/L	Указывает, что для любых обнаруженных символических ссылок эта операция должна выполняться на самой символической ссылке, а не цель.
/Q	Указывает, что icacls должен подавлять сообщения об успешном выполнении.

ICACLS сохраняет канонический порядок записей ACE:

• Явные отказы.
• Явные гранты.
• Унаследованные отказы.
• Унаследованные гранты.

Маска разрешений perm может быть указана как последовательность простых прав:

• N: нет доступа.
• F: полный доступ.
• M: изменить доступ.
• RX: доступ для чтения и выполнения.
• R: доступ только для чтения.
• W: доступ только для записи.
• D: удалить доступ.

Кроме того, разрешение можно указать в виде списка определенных прав, разделенных запятыми, заключенных в круглые скобки:

• DE: удалить.
• RC: управление чтением.
• WDAC: напишите DAC.
• WO: напишите владельца.
• S: синхронизировать.
• AS: безопасность доступа к системе.
• МА: максимально допустимый.
• GR: общее чтение.
• GW: общая запись.
• GE: универсальное выполнение.
• GA: общее для всех.
• RD: чтение каталога данных/списка.
• WD: записать данные/добавить файл.
• AD: добавить данные/добавить подкаталог.
• REA: читать расширенные атрибуты.
• WEA: напишите расширенные атрибуты.
• X: выполнение/обход.
• DC: удалить дочерний элемент.
• RA: чтение атрибутов.
• WA: напишите атрибуты.

Права наследования могут предшествовать любой форме и применяются только к каталогам:

• (OI): объект наследуется.
• (CI): наследование контейнера.
• (IO): только наследование.
• (NP): не распространять наследование.
• (I): разрешение унаследовано от родительского контейнера.

How do I reset NTFS permissions?

“Hello! We had an incident on the computer and some NTFS permissions from a folder structure even volume have been removed. What should I do to reset NTFS file permission in our Windows 7? Is the way difficult or easy because we don’t have much experience on computer?
Besides, I’m wondering if any of GUI tool could do a backup for all vital data, so that we could restore NTFS permissions as simple as restore a backup image when necessary. Maybe I can schedule a daily backup to keep it up to date. Any advice would be appreciated.”

In fact, many users have this doubt, if you are one of them, please continue to see below, learn more about NTFS permission and how to reset NTFS permission. You will learn the 5 effective ways in the following.

Дискуссия и опрос

С выходом новой ОС я традиционно переключаюсь на рассказы о ее возможностях, что неизбежно отправляет в разряд пассивных наблюдателей изрядную часть аудитории. Думаю, в этот раз она все-таки будет не такой большой, как в случае с Windows 8

Этой статьей я возрождаю серию фишек Windows в контексте Windows 10. Напоминаю, что считаю фишкой любую интересую функциональную возможность Windows, вне зависимости от того, известна / полезна / нравится ли она конкретно вам или нет. Если вы знаете суперсекретные фишки, присылайте их мне для публикации в блоге.

Возвращаясь к теме статьи, я полагаю, что большинство читателей переносит пользовательские папки на другой диск. Именно такое ощущение у меня осталось из предыдущих дискуссий, в том числе обсуждения 6 ошибок людей с маленьким, а также понимания, что многие накупили SSD объемом 60-128GB, недалеко уйдя от маленьких разделов.

1. Перемещаете ли вы папки и с какой целью
2. Есть ли у вас другие пользователи на этом ПК и разграничиваете ли вы права

Результаты голосования утеряны в связи с прекращением работы веб-сервиса опросов.

Функция действующих прав доступа.

Функция действующих прав доступа определяет права на объект для пользователя или группы, вычисляя предоставленные им права. Вычисление зависит от прав членства в группе и любого из наследуемых полномочий от родительского объекта. Учитываются все домены и локальные группы, членом которых является пользователь или группа пользователей.

Функция действующих прав доступа устанавливает пользователю только приблизительные права. Фактические права пользователя могут отличаться, так как они могут быть предоставлены или в них может быть отказано при входе пользователя в систему. Сведения о входе в систему не могут определяться функцией действующих прав доступа, так как пользователь может не войти в систему. Таким образом, действующие права отражают только права для указанного пользователя или группы, а не права, определённые для входа в систему.

Например, если пользователь подключается к компьютеру через общий файловый ресурс, то вход для этого пользователя устанавливается как сетевой вход. Права доступа, которые получит подключаемый пользователь, могут быть предоставлены или в них отказано по безопасному сетевому идентификатору (SID), поэтому пользователь имеет различные права при локальном и сетевом входе в систему.

• Файлы имеющие какой либо общий признак хранятся

    

• Как узнать заблокирован ли компьютер

    

• Звуковая карта cmi8738 sx подключение

    

• Как настроить kmplayer чтобы он автоматически воспроизводил следующий файл

    

• Msvcr200 dll что это за ошибка как исправить

Причина 3. Коррупция файловой системы препятствует доступу к файлу

Вы не можете удалить файл, если файловая система повреждена. Чтобы устранить эту проблему, запустите утилиту Chkdsk на томе диска, чтобы устранить ошибки.

Следующие причины могут повредить файловую систему и поместить файлы в проблемное состояние:

• Плохие сектора на диске
• Другое неисправное оборудование
• Ошибки программного обеспечения

Типичные операции могут по-разному сбой. Когда файловая система обнаруживает коррупцию, она записывает событие в журнал событий, и обычно вы получаете сообщение, которое побуждает вас к запуску Chkdsk. В зависимости от характера повреждения chkdsk может или не может восстанавливать данные файлов. Однако Chkdsk возвращает файловую систему в внутренне согласованное состояние.

Предыдущие версии в Windows 10

Статья была написана во времена Windows 8, а в Windows 10 вкладка «Предыдущие версии» вернулась в свойства папки. Тем не менее материал актуален для Windows 10, потому что в нем демонстрируются способы восстановления файлов напрямую из теневых копий.

В Windows 10 на вкладке написано, что предыдущие версии образуются из истории файлов и теневых копий. Для начала нужно учитывать, что в Windows 10 защита системы . Поэтому при стандартных настройках предыдущие версии могут быть доступны только из истории файлов, если она включена, конечно.

Более того, мой эксперимент в Windows 10 версии 1511 (и позже в 1709) показал, что на вкладке отображаются только версии из истории файлов, даже если защита системы включена!

На этой картинке:

1. Свойства папки скриншотов в ОС. Последняя версия от 27 февраля. Вероятно, это дата последнего копирования в историю файлов, которая у меня сейчас не работает (диск отключен физически)
2. Последняя теневая копия от 11 мая (появилась при создании точки восстановления перед установкой обновлений WU), создаю символическую ссылку на п.3
3. Содержимое теневой копии. Видно, что в ней есть файлы, созданные незадолго до появления теневой копии от 11 мая. Однако они отсутствуют в п.1

Таким образом, лучший шанс восстановить предыдущие версии у вас есть в том случае, если включена история файлов. Тогда версии доступны на вкладке в свойствах папки или в интерфейсе истории файлов. В противном случае должна быть включена защита системы, и при необходимости вам придется добираться до теневых копий способами, описанными ниже в статье.

Windows PowerShell 5.x

This section explains how to use PowerShell v5.x to transfer DACL, SACL, and object owner.

PowerShell is readily equipped with Get-Acl and Set-Acl commands, which can be piped as follows:

It tries to transfer all access control properties from the source file or folder to the destination file or folder. The following command:

…when executed with administrative privileges, does the trick for you. This is tested on Windows 10, but it will work on other versions of Windows with PowerShell 5.

This command has a disadvantage, though. It does not seem to transfer the integrity level. It appears the .NET Framework deliberately avoids altering IL.

Other icacls functions

If you need to save ACLs in a file for a later restore, you can do by using a couple of “save and restore” commands.
A very simple operation from a point of view: information about the ACLs are saved in a file that can be used in case of need to restore a previous situation.
However, it should be noted that data on access rights, especially in shared folders, can be very variable over time.
We could then find ourselves in a situation where we are going to restore a situation that is different from reality or even inconsistent.
Moreover, the file that is created, openable and readable with a common text editor, seems to be a Unicode text.
But beware, because it isn’t.

Open the file and save it with some changes will make it unusable in Restore operations.

The couple of “save and restore” commands is as follows:

You will immediately notice a difference between the two commands.

The save command can be executed both on file and on directories (FILE_O_O_DIRECTORY must be replaced with the name of the file or directory for which we want to save the ACL).

While the restore command only works on directories.

An example of use is as follows:

As you can see, in restore command case we will not use filediprova.txt but the directory in which it is contained.