Làm cách nào để cấp cho quản trị viên quyền truy cập vào thư mục mà không hủy các quyền hiện tại?

Tôi có một thư mục mà tôi không thể truy cập từ tài khoản thuộc nhóm Quản trị viên trên windows 7.

Nếu tôi hiển thị tab Bảo mật trên các thuộc tính, tôi thấy "Bạn không có quyền xem hoặc chỉnh sửa cài đặt quyền của đối tượng này".

Nếu tôi nhấp vào nâng cao và chuyển đến tab chủ sở hữu, nó sẽ cho tôi biết rằng đó là "Không thể hiển thị chủ sở hữu hiện tại."

Tôi có thể có quyền truy cập vào thư mục bằng cách gán lại quyền sở hữu, nhưng điều này sẽ phá hủy các quyền hiện tại trên thư mục.

Vì vậy, có một số cách cho quản trị viên truy cập vào thư mục mà không cần kiểm soát và phá hủy các quyền hiện tại.

Một số hoạt động đào cẩn thận cho thấy việc sở hữu đôi khi phá hủy các quyền hiện có và đôi khi không. Tất cả dường như phụ thuộc vào việc bạn có cố gắng và thực hiện đệ quy hay không . Lưu ý rằng Windows sẽ cảnh báo bạn khi nó sẽ thay thế các quyền hiện có, nhưng (ít nhất là trong GUI) rất dễ dàng để OK tin nhắn mà không cần đọc hoặc hiểu đầy đủ.

Để xem nó, bạn sẽ cần một thư mục (c: \ someFolder trong ví dụ này) thuộc sở hữu của một tài khoản người dùng khác và bạn và nhóm quản trị viên không có quyền truy cập.

Dòng lệnh

Sử dụng công cụ "Takeown" dòng lệnh:

TakenOWN / A / R / F c: \ someFolder

bạn sẽ thấy một cái gì đó như

THÀNH CÔNG: Tệp (hoặc thư mục) "c: \ someFolder" hiện thuộc sở hữu của nhóm quản trị viên.

Bạn không có quyền đọc nội dung của thư mục "c: \ someFolder"

Bạn có muốn thay thế các quyền của thư mục bằng các quyền cấp cho bạn toàn quyền kiểm soát ("Y" cho CÓ, "N" cho KHÔNG, "C" cho CANCEL) không?

Lưu ý rằng nếu bạn trả lời có ở đây, nó thực sự có nghĩa là thay thế các quyền. Bất kỳ quyền hiện có sẽ bị phá hủy. Nếu bạn trả lời không, bạn vẫn không có quyền trên thư mục nhưng hiện tại là chủ sở hữu nên có thể cung cấp cho mình quyền bình thường và không phá hủy bất kỳ quyền nào đã tồn tại.

Nếu bạn không chỉ định cờ đệ quy (/ R), bạn không nhận được cảnh báo và chủ sở hữu được thay đổi mà không ảnh hưởng đến bất kỳ quyền nào khác.

GUI

Bạn sẽ cần sử dụng tab "bảo mật" của cửa sổ thuộc tính để thay đổi mọi thứ thông qua GUI. Điều này cung cấp cho bạn hai nút: "tiếp tục" và "nâng cao". Advanced cung cấp cho bạn một cửa sổ với bốn tab: "quyền", "kiểm toán", "chủ sở hữu" và "quyền hiệu quả". Tiếp tục cung cấp cho bạn chỉ là tab "chủ sở hữu".

Nếu bạn chọn chủ sở hữu mới và đánh dấu vào ô "áp dụng cho thư mục con", nhấn OK hoặc áp dụng sẽ cung cấp cho bạn hộp thông báo "Bạn có muốn thay thế quyền" không, thực sự có nghĩa là thay thế quyền. Nếu bạn không chọn hộp thư mục con, bạn sẽ không nhận được cảnh báo và mọi thứ sẽ hoạt động như mong đợi.

Rất dễ dàng để không đọc đầy đủ hộp thông báo này, giả sử nó chỉ là một hộp khác yêu cầu bạn xác nhận một cái gì đó không phá hủy và chỉ cần nhấn enter để OK nó. Cũng rất dễ để cho rằng họ không thể thực sự có nghĩa là thay thế bởi vì không ai có thể muốn làm điều đó.

Nếu bạn không được liệt kê là "có thể đọc / thay đổi quyền" trong ACL của thư mục, bạn không thể thay đổi chúng, bất kể bạn là ai hay bạn là ai. Tất cả Người dùng, Quản trị viên, Nội dung, thậm chí nt authority\system, được đối xử bình đẳng bằng mã bảo mật. (Đặc quyền "Nhận quyền sở hữu" trên toàn hệ thống là một ngoại lệ, nhưng nó cũng không thể sửa đổi ACL, chỉ đặt lại nó.)

Bạn phải đăng nhập với tư cách là người được phép thực hiện việc này, trực tiếp (tên người dùng + mật khẩu) hoặc - nếu bạn có nhiều thời gian rảnh - bằng cách thực hiện một số thủ thuật SeCreateTokenPriv đặc quyền .

Bạn có thể sử dụng hộp kiểm "Thay thế chủ sở hữu trên các nhà cung cấp phụ và đối tượng" được tô sáng màu xanh lá cây. Sẽ không ổn khi khởi kiện hộp kiểm "Thay thế tất cả các mục quyền của đối tượng con" được tô sáng màu đỏ. Cái sau sẽ thay thế ACL (quyền) hiện tại thay vì chỉ thay đổi chủ sở hữu.