Giải thích đầu ra của ICACLS.EXE, từng dòng, từng mục

Điều đó có nghĩa là gì:

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

Tôi nghĩ rằng điều đầu tiên có nghĩa là userid có quyền Sửa đổi trên thư mục - có nghĩa là người dùng có thể tạo tệp, hoặc cập nhật tệp hoặc xóa tệp. Đúng? Người dùng "NT AUTHORITY \ IUSR" là gì? Đó thực sự là một ID người dùng? Đây có phải là ID người dùng IIS mặc định không?

ok, dòng thứ hai tôi nghĩ đề cập đến một nhóm. Nó có cùng quyền.

Thế còn tất cả những dòng có (I) và (OI), v.v. Vui lòng giải thích.

Từ bài viết của Microsoft về ICACLS

Các mục nhập là người dùng và nhóm cụ thể cho tệp đó (DOMAIN \ USER hoặc GROUP), các quyền được liệt kê như sau:

SID có thể ở dạng tên số hoặc thân thiện. Nếu bạn sử dụng dạng số, hãy gắn ký tự đại diện * vào đầu SID.

icacls duy trì thứ tự chính tắc của các mục nhập ACE như:

• Từ chối rõ ràng
• Tài trợ rõ ràng
• Từ chối kế thừa
• Tài trợ kế thừa

Perm là mặt nạ cấp phép có thể được chỉ định theo một trong các hình thức sau:

1. Một chuỗi các quyền đơn giản:
   • F (truy cập đầy đủ)
   • M (sửa đổi quyền truy cập)
   • RX (đọc và thực hiện truy cập)
   • R (truy cập chỉ đọc)
   • W (truy cập chỉ ghi)
2. Danh sách được phân tách bằng dấu phẩy trong ngoặc đơn của các quyền cụ thể:
   • D (xóa)
   • RC (điều khiển đọc)
   • WDAC (viết DAC)
   • WO (chủ sở hữu viết)
   • S (đồng bộ hóa)
   • AS (bảo mật hệ thống truy cập)
   • MA (tối đa được phép)
   • GR (đọc chung)
   • GW (viết chung)
   • GE (thực hiện chung)
   • GA (chung chung)
   • RD (đọc thư mục dữ liệu / danh sách)
   • WD (ghi dữ liệu / thêm tệp)
   • AD (chắp thêm dữ liệu / thêm thư mục con)
   • REA (đọc thuộc tính mở rộng)
   • WEA (viết thuộc tính mở rộng)
   • X (thực thi / duyệt)
   • DC (xóa con)
   • RA (đọc thuộc tính)
   • WA (ghi thuộc tính)

Quyền thừa kế có thể có trước mẫu Perm và chúng chỉ được áp dụng cho các thư mục:

• (OI) : kế thừa đối tượng
• (CI) : kế thừa container
• (IO) : chỉ kế thừa
• (NP) : không tuyên truyền kế thừa
• (I) : quyền được kế thừa từ container cha

Đối với các tệp, mặt nạ cấp phép ít nhiều tự giải thích: Rcó nghĩa là bạn có thể đọc tệp, Xcho phép tệp được thực thi (dưới dạng chương trình), v.v.

Đối với các loại đối tượng khác, bạn sẽ phải duyệt MSDN:

• Quyền truy cập tiêu chuẩn
• Quy tắc kế thừa của ACE
• Đăng ký
• Dịch vụ
• ...

Quyền thừa kế bằng tiếng Anh:

• (I) "Kế thừa": ACE này được kế thừa từ thùng chứa mẹ.
• (OI) "Kế thừa đối tượng": ACE này sẽ được kế thừa bởi các đối tượng được đặt trong vùng chứa này.
• (CI) "Kế thừa container": ACE này sẽ được kế thừa bởi các nhà thầu phụ được đặt trong container này.
• (IO)"Chỉ kế thừa": ACE này sẽ được kế thừa (xem OIvà CI), nhưng không áp dụng cho chính đối tượng này.
• (NP)"Không truyền bá": ACE này sẽ được kế thừa bởi các đối tượng và nhà cung cấp phụ sâu một cấp - nó sẽ không áp dụng cho những thứ bên trong các nhà thầu phụ.

Đối với hệ thống tệp, "container" có nghĩa là một thư mục và "đối tượng" có nghĩa là một tệp, nhưng hãy nhớ rằng ACL có thể được đặt trên nhiều loại đối tượng khác, không phải tất cả đều có khái niệm "container".