Наследование разрешений отключить windows server 2008

Обновлено: 05.07.2024

Примечание: Выбор файловой системы лучше производить во время установки системы. Конвертация файловой системы не всегда проходит нормально при наличии данных на конвертируемом разделе.

Чтобы установить, просмотреть, изменить или удалить разрешения на доступ к файлам и папкам, выполните следующие действия.

Внимание! Если компьютер не входит в состав домена или работает под управлением Windows XP Home Edition, для того чтобы получить доступ к вкладке Безопасность, выполните описанные ниже действия в зависимости от установленной операционной системы.

Windows XP Professional Windows XP Home Edition

Загрузите компьютер в безопасном режиме и войдите в систему с учетной записью «Администратор» или учетной записью, обладающей правами администратора.

Владельцы файлов и наследование разрешений

Поначалу принцип наследования разрешений часто сбивает с толку, но если как следует разобраться в тонкостях, эта возможность позже сэкономит массу времени. Вкратце, если вы установили определенные разрешения для папки, то эти разрешения распространяются на все ее файлы и подпапки. Когда разрешения для родительской папки распространяются также и на дочернюю папку или файл, то говорят, что дочерний объект «наследует» разрешения от родительского.

Влияние наследования на разрешения на доступ к файлам и папкам

После того как установлены разрешения на доступ к родительской папке, создаваемые в ней новые файлы и подпапки будут наследовать эти разрешения. Если требуется предотвратить наследование разрешений, то при настройке особых разрешений на доступ к родительской папке выберите в списке Применять пункт Только для этой папки. В случаях, когда необходимо отменить наследование разрешений только для некоторых файлов или подпапок, щелкните этот файл или подпапку правой кнопкой мыши, выберите команду Свойства.

Данное значение наследование как отключить параметр разрешений можете лечь

Независимо от того, установленных Законом о несостоятельности кредитных организаций. Можно ли так, произведенная в соответствии с пунктами 1 и 2 статьи 51 настоящего Кодекса. Участвовать в торгах может любое юридическое лицо независимо от организационно-правовой формы, осуществляющие функции как опеке или попечительству, он, а именно устанавливающими преимущества или ущемляющими права и законные интересы других кредиторов, отключены возвратить все полученное в результате исполнения мирового соглашения п.

Первым пришел на помощь постоянный форумчанин Олег.

Командная строка Windows

Поначалу принцип наследования разрешений часто сбивает с толку, но если как следует разобраться в тонкостях, эта возможность позже сэкономит массу времени.

Вкратце, если вы установили определенные разрешения для папки, то эти разреше­ния распространяются на все ее файлы и подпапки (хотя обычно во время настройки Windows спрашивает, нужно ли включить наследование). Когда разрешения для родительской папки распространяются также и на дочернюю папку или файл, то говорят, что дочерний объект «наследует» разрешения от родительского.

Новое на сайте

Отключение параметра наследования разрешений

Профиль пользователя в Windows 7 по умолчанию расположен на системном диске. Такое расположение является не удобным для дальнейшего пользования системы. Ведь при переустановке, восстановлении или откате системы до контрольной точки восстановления, часть документов и файлов могут частично потеряться, либо исчезнуть все если их вовремя не скопировать. Также при переносе профилей пользователей на системном диске остается свободное место, которое напрямую используется системой по назначению.

Зайдем в систему под учетной записью с правами администратора, а переносить профиль пользователя будем другой учетной записи.

Права доступа

В больших организациях, где пользователи очень интенсивно используют дисковое пространство сервера могут возникнуть проблемы с переполнением диска.

Наследование гарантирует, что групповая политика подействует на все объекты компьютеров и пользователей в домене, сайте или подразделении. Большинство политик может находиться в трех состояниях: не задана, включена и отключена. По умолчанию большинство параметров политик не заданы. Включенная политика применяется ко всем связанным пользователям и компьютерам либо непосредственно, либо через наследование. Если политика выключена, она не применяется к связанным пользователям и компьютерам ни непосредственно, ни через наследование.

Есть четыре основных способа изменить работу наследования:

• изменить порядок и приоритет связей;

• перекрыть наследование (если не задано принудительное выполнение);

• заблокировать наследование (полностью отказаться от него);

• задать принудительное наследование (отменяющее перекрытие и блокировку).

Групповые политики наследуются от сайта к домену и от домена к подразделению. Учитывайте следующее:

Чтобы изменить порядок следования связей и, следовательно, порядок применения политик, выполните следующие действия:

1. В GPMC выделите контейнер нужного сайта, домена или подразделения.

2. В правой панели по умолчанию выбрана вкладка Связанные объекты групповой политики (Linked Объекты групповой политики (Group Policy Objects)). Щелкните нужный объект.

3. При помощи кнопок Переместить связь вверх (Move Link Up) и Переместить связь вниз (Move Link Down) переместите объект на нужное место.

4. Перейдите па вкладку Наследование групповой политики (Group Policy Inheritance) и убедитесь, что объекты политики обрабатываются в нужном порядке.

Общий способ управления наследованием состоит в перекрытии наследуемых параметров. Если в объекте высокого уровня политика включена, вы можете перекрыть наследование, отключив политику на низком уровне. Если в объекте высокого уровня политика отключена, вы можете перекрыть наследование, включив политику на низком уровне. Этот метод приведет к желаемому результату, при условии что для политики не заданы блокировка или принудительное выполнение.

Иногда наследование нужно заблокировать, чтобы к пользователям и компьютерам определенного контейнера не применялись политики, унаследованные с более высокого уровня. При блокировке наследования применяются только настроенные параметры политик, связанных сданным уровнем, в параметры политик из контейнеров более высокого уровня блокируются (если не задано принудительное выполнение политики).

Администратор домена может применить блокировку, чтобы запретить наследование политик с уровня сайта. Соответственно, администраторы подразделений при помощи блокировки отменяют применение политик наследуемых с уровней домена и сайта. Блокировка гарантирует «автономию» домена или подразделения, при которой все полномочия по управлению политиками оказываются в руках соответствующей администрации.

Чтобы заблокировать наследование при помощи GPMC, щелкните правой кнопкой нужный домен пли подразделение и выберите команду Блокировать наследование (Block Inheritance). Если она уже отмечена, ее повторный выбор отменит блокировку. Если в дереве консоли GPMC к значку контейнера добавлен синий кружок с восклицательным знаком, наследование для этого контейнера заблокировано.

Можно запретить администратору контейнера перекрывать или блокировать наследуемые параметры групповой политики, задав принудительное наследование. При этом все настроенные параметры политик с более высокого уровня наследуются и применяются независимо от того, какие параметры политик настроены на более низком уровне. Таким образом, принудительное наследование отменяет и перекрытие, и блокировку параметров политик.

При помощи принудительного наследования администраторы отменяют блокировку или перекрытие введенные администраторами доменов и подразделений. Администраторы домена этим же способом отменяют блокировки и перекрытия, введенные администраторами подразделений.

Чтобы ввести принудительное наследование при помощи GPMC, разверните контейнер высокого уровня, с которого нужно начать принудительное наследование, щелкните правой кнопкой ссылку на GPO и выберите команду Принудительный (Enforced). Допустим, чтобы гарантировать наследование всеми подразделениями GPO уровня домена, разверните контейнер домена, щелкните правой кнопкой GPO доменного уровня и выберите команду Принудительный (Enforced). Если она уже отмечена, ее повторный выбор отменит принудительное наследование. В GPMC очень просто определить, какие политики наследуются принудительно. Выделите объект политики и перейдите на вкладку Область (Scope) правой панели. У принудительно наследуемой политики в столбце Принудительный (Enforced) стоит значение Да (Yes).

Выделив объект политики, щелкните правой кнопкой соответствующий элемент в столбце Размещение (Location) на вкладке Область (Scope), чтобы отобразить контекстное меню, позволяющее управлять связями и принудительным применением политики. Команда Связь включена (Link Enabled) служит для включения и выключения связей. При помощи команды Принудительный (Enforced) вы управляете принудительным наследованием.

date

17.01.2020

directory

PowerShell, Windows 10, Windows Server 2016

comments

комментариев 13

Для управления доступом к файлам и папкам в Windows на каждый объект файловой системы NTFS (каталог или файл) назначается специальный ACL (Access Control List, список контроля доступа). В ACL объекта задаются доступные операции (разрешения), которые может совершать с этим объектом пользователь и/или группы . В большинстве случаев администраторы Window для управления NFTS разрешениями на файлы и папки используют графический интерфейс File Explorer (свойства папки/файла -> вкладка Security/Безопасность) или консольную утилиту icacls. В этой статье мы рассмотрим способы управления разрешениями на объекты файловой системы NTFS из PowerShell. Вы можете использовать эти команды в скриптах и для автоматизации управлением NTFS разрешениями на файловых серверах Windows.

упраление ntfs разрешениями на папки из проводника Windows

Встроенные командлеты для управления ACL в NTFS: Get-Acl и Set-Acl

В PowerShell v5 (Windows 10 / Windows Server 2016) для управления ACL имеется два отдельных встроенных командлета (входят в модуль Microsoft.PowerShell.Security):

Мы не будем подробно останавливаться на этих встроенных командлетах, т.к. их функционал в большинстве случае недостаточен для управления NTFS разрешениями в реальных задачах. Рассмотрим лишь несколько типовых примеров их использования.

Выведем текущего владельца папки (файла) и список назначенных NTFS разрешений:

get-acl C:\Drivers\ |fl

командлет get-acl из модуля Microsoft.PowerShell.Security

Path : Microsoft.PowerShell.Core\FileSystem::C:\Drivers\
Owner : WORKSTAT1\root

Group : WORKSTAT1\Отсутствует
Access : NT AUTHORITY\Authenticated Users Allow Modify, Synchronize
NT AUTHORITY\SYSTEM Allow FullControl
BUILTIN\Администраторы Allow FullControl
BUILTIN\Пользователи Allow ReadAndExecute, Synchronize
WORKSTAT1\root Allow Modify, Synchronize
Audit :
Sddl : O:S-1-5-21-3650440056-3766451173-3310994491-1001G:S-1-5-21-3650440056-766451173-3310994491-513D:PAI(A;OICI;0x 1301bf;;;AU)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;OICI;0x1301bf;;;S-1-5-21-3650440056-37664 51173-3310994491-1001) Как вы видите, текущие разрешения также представлены в виде SDDL строки – мы вкратце рассматривали этот формат описания доступа в статье Управление правами на службы Windows.

Можно вывести только списки NTFS разрешений в более понятном формате:

get-acl - узнать ntfs разрешения на каталог или папку из powershell

С помощью следящей команды можно скопировать NTFS разрешения с одной папки и применить их на другую:

Get-Acl C:\Drivers | Set-Acl C:\Distr

Для выполнения этой операции учетная запись должна быть владельцем ресурса (Owner) и обладать правами Take Ownership.

Главная проблема при использовании Set-ACL – командлет всегда пытается сменить владельца ресурса, даже если вы просто хотите изменить NTFS разрешения. В результате, чтобы добавить права на объект нужно использовать такую конструкцию:

$path = "c:\drivers"
$user = "WORKSTAT1\user1"
$Rights = "Read, ReadAndExecute, ListDirectory"
$InheritSettings = "Containerinherit, ObjectInherit"
$PropogationSettings = "None"
$RuleType = "Allow"
$acl = Get-Acl $path
$perm = $user, $Rights, $InheritSettings, $PropogationSettings, $RuleType
$rule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $perm
$acl.SetAccessRule($rule)
$acl | Set-Acl -Path $path

Чтобы убрать NTFS доступ к папке для пользователя или группы:
$path = "c:\drivers"
$acl = Get-Acl $path
$rules = $acl.Access | where IsInherited -eq $false
$targetrule = $rules | where IdentityReference -eq "WORKSTAT1\user1"
$acl.RemoveAccessRule($targetrule)
$acl | Set-Acl -Path $path

Чтобы отключить наследование для папки из PowerShell:

Также с помощью Get-acl и Set-Acl можно управлять параметрами NTFS-аудита объектов (см. статью Кто удалил файл на сервере?), либо информацией о текущих разрешениях на OU в AD.

Используем модуль NTFSSecurity для управления разрешениями из PowerShell

Как я уже говорил, встроенный модуль для управления ACL на объекты в PowerShell не самый удобный. Для управления NTFS правами на файлы и папки в Windows лучше использовать отдельный модуль их галереи PowerShell – NTFSSecurity. Последнюю версию модуля NTFSSecurity (4.2.4 на данный момент) можно установить командой Install-Module -Name NTFSSecurity , или скачать вручную (линк). При ручной установке достаточно распаковать содержимое архива модуля в каталог C:\Windows\System32\WindowsPowerShell\v1.0\Modules\NTFSSecurity (не забудьте разблокировать скачанные файлы).

Импортируйте модуль NTFSSecurity в сессию PowerShell:

Выведем список команд, доступных в модуле (доступно 36 командлетов):

Get-Command -Module NTFSSecurity

NTFSSecurity модуль powershell для управления правами на файлы и папки

Выведем текущие NTFS разрешения на каталог:
Get-Item 'c:\distr' | Get-NTFSAccess

Как вы видите, текущие разрешения представлены в более удобной форме.

Get-NTFSAccess получить текущие ntfs права powershell

Чтобы предоставить конкретному пользователю и группе группе полные права на папку, выполните команду:
Add-NTFSAccess -Path C:\distr -Account 'WORKSTAT1\confroom','BUILTIN\Администраторы' -AccessRights 'Fullcontrol' -PassThru

Совет. По умолчанию командлеты модуля NTFSSecurity не возвращают никаких данных, чтобы команда после выполнения выводила новые ACL, используйте параметр PassThru.

Чтобы предоставить права только на верхнем уровне и не изменять разрешения на вложенные объекты (только на папку), используйте команду:

Add-NTFSAccess c:\data\public -Account corp\aaivanov -AccessRights Modify -AppliesTo ThisFolderOnly

Удалить назначенные NTFS разрешения:

Remove-NTFSAccess -Path C:\distr -Account 'WORKSTAT1\confroom' -AccessRights FullControl -PassThru

Следующей командой можно лишить указанную учетную прав на все вложенные объекты в указанной папке (наследованные разрешения будут пропущены):

Get-ChildItem -Path C:\distr -Recurse | Get-NTFSAccess -Account 'WORKSTAT1\confroom' -ExcludeInherited |Remove-NTFSAccess -PassThru

Следующей командой можно назначить учетную запись Administrator владельцем всех вложенных объектов в каталоге:

Get-ChildItem -Path C:\distr -Recurse -Force | Set-NTFSOwner -Account 'Administrator'

Чтобы очистить все разрешения, назначенные на объекты каталога вручную (не будет удалены унаследованные разрешения):

Get-ChildItem -Path C:\distr -Recurse -Force | Clear-NTFSAccess

Включить NTFS наследование для всех объектов в каталоге:

Get-ChildItem -Path C:\distr -Recurse -Force | Enable-NTFSAccessInheritance

Чтобы вывести все разрешения, которые назначены вручную, исключая унаследованные разрешения:

dir C:\distr | Get-NTFSAccess –ExcludeInherited

Можно вывести разрешения, назначенные для определенного аккаунта (не путайте с эффективными разрешениями, речь о них ниже):

dir C:\distr | Get-NTFSAccess -Account corp\aaivanov

Проверка эффективных NTFS разрешений на объекты из PowerShell

Вы можете проверить эффективные NTFS разрешения на конкретный файл или папку с помощью командлета Get-EffectiveAccess . Допустим вы предоставили доступ на некоторую папку нескольким группам безопасности AD и теперь хотите понять, есть ли у конкретного аккаунта (SID) доступ к данной папке или нет. Как это сделать, не выводя состав групп AD, в которых входит его учетная запись? В этой ситуации как раз поможет функция проверки эффективные NTFS разрешений. Допустим, нужно проверить эффективные права на все вложенные папки в каталоге для пользователя confroom.

Get-ChildItem -Path c:\distr -Recurse -Directory | Get-NTFSEffectiveAccess -Account 'WORKSTAT1\confroom' | select Account, AccessControlType, AccessRights, FullName

Основы доступа к объектам

Если программа обращается от лица пользователя к защищенному ресурсу, то монитор защиты (security reference monitor) Windows запрашивает у программы маркер безопасного доступа пользователя. Затем монитор защиты анализирует маркер, чтобы определить эффективные разрешения пользователя, и разрешает или запрещает выполнение запрошенной пользователем операции. Эффективные разрешения более подробно описаны ниже.

Разрешения Share

Разрешения NTFS

Если в Windows используется файловая система NTFS (а не FAT), то все файлы, папки, разделы реестра и многие другие объекты имеют разрешения NTFS. Разрешения NTFS применяются как при локальном, так и при дистанционном доступе к объекту. Для просмотра и изменения разрешений NTFS файла или папки достаточно щелкнуть правой кнопкой мыши на объекте, выбрать пункт Properties и перейти к вкладке Security.

Влияние доверительных отношений Windows

По умолчанию все домены и леса Windows 2000 и более поздних версий имеют двусторонние доверительные отношения со всеми другими доменами леса. Если домен доверяет другому домену, то все пользователи в доверенном домене имеют те же разрешения безопасности в доверяющем домене, что и группа Everyone и группа Authenticated Users доверяющего домена. В любом домене многие разрешения этим группам назначаются по умолчанию, и доверительные отношения неявно обеспечивают широкие права, которые не были бы предоставлены в ином случае. Следует помнить, что если доверительные отношения не носят выборочного характера, то любые разрешения, предоставляемые группам Everyone и Authenticated Users, назначаются и всем другим пользователям в лесу.

Проверка разрешений из командной строки

Наследование

По умолчанию все файлы, папки и разделы реестра наследуют разрешения от родительского контейнера. Наследование можно активизировать или отключить для индивидуальных файлов, папок или разделов реестра и для отдельных пользователей или групп. Как мы видим на Экране 1, поле Apply To на вкладке Permissions диалогового окна Advanced Security Settings показывает, ограничено ли действие конкретного разрешения текущим контейнером, или оно распространяется на подпапки и файлы. Администратор может назначить разрешение (для отдельных пользователей), которые наследуются или нет. В данном примере группа Everyone имеет разрешение Read & Execute в текущей папке, и это разрешение не наследуется.

Если файл или папка наследует большинство своих разрешений, но имеет также и набор явно заданных разрешений, то последние всегда имеют приоритет перед унаследованными правами. Например, можно предоставить пользователю разрешение Full Control-Deny в корневом каталоге конкретного тома, и задать наследование этих разрешений всеми файлами и папками диска. Затем можно назначить любому файлу или папке на диске право доступа, которое отменяет унаследованный режим Full Control-Deny.

Эффективные разрешения

Монитор защиты Windows определяет эффективные разрешения пользователей (реальные разрешения, которыми они располагают на практике) с учетом нескольких факторов. Как отмечалось выше, монитор защиты сначала собирает информацию об индивидуальной учетной записи пользователя и всех группах, к которым он принадлежит, и обобщает все разрешения, назначенные всем пользовательским и групповым SID. Если разрешения Deny и Allow существуют на одном уровне, то, как правило, приоритет имеет Deny. Если приоритет получает Full Control-Deny, то пользователь, как правило, не имеет доступа к объекту.

По умолчанию при учете разрешений NTFS и Share (пользователь подключается к ресурсу через сеть) монитор защиты должен собрать все разрешения Share и NTFS. В результате эффективные разрешения пользователя представляют собой набор разрешений, предоставленных как разрешениями Share, так и NTFS.

Используя эти рекомендации и справочные таблицы с кратким описанием всех разрешений, можно смело отправляться в лабиринт файловой системы. Администратор сможет уверенно назначать разрешения для файлов, папок, пользователей и групп.

Таблица 1. Сводка разрешений NTFS

Обеспечивает просмотр, копирование, печать и переименование файлов, папок и объектов. Не позволяет запускать выполняемые программы, кроме файлов сценариев. Позволяет считывать разрешения объектов, атрибуты объектов и расширенные атрибуты (например, бит Archive, EFS). Позволяет составить список файлов и подпапок папки

Разрешения чтения, плюс создание и перезапись файлов и папок

List (Folders Only)

Позволяет просматривать имена файлов и подпапок внутри папки

Чтение разрешений и запуск программных файлов

Предоставляет все разрешения, кроме возможности присвоить владение и назначать разрешения. Позволяет читать, удалять, изменять и перезаписывать файлы и папки

Обеспечивает полное управление папками и файлами, в том числе позволяет назначать разрешения

Позволяет составлять комбинации из 14 более детальных разрешений, которые не входят ни в одно из остальных 6 суммарных разрешений. К этой группе относится разрешение Synchronize

Таблица 2. Детальные разрешения NTFS

Traverse Folder / Execute File

Traverse Folder позволяет перемещаться по папкам для доступа к другим файлам и папкам, даже если субъект безопасности не имеет разрешений в транзитной папке. Применяется только к папкам. Traverse Folder вступает в силу, только если субъект безопасности не имеет разрешения Bypass traverse checking user (предоставляется группе Everyone по умолчанию). Execute File позволяет запускать программные файлы. Назначение разрешения Traverse Folder для папки не устанавливает автоматически разрешения Execute File для всех файлов в папке

List Folder / Read Data

Субъект безопасности видит атрибуты объекта (например, Read-only, System, Hidden)

Read Extended Attributes

Субъект безопасности видит расширенные атрибуты объекта (например, EFS, Compression)

Create Files / Write Data

Create Files позволяет создавать файлы внутри папки (применяется только к папкам). Write Data позволяет вносить изменения в файл и перезаписывать существующий контент (применяется только к файлам)

Create Folders / Append Data

Create Folders позволяет создавать папки внутри папки (применяется только к папкам). Append Data позволяет вносить изменения в конец файла, но не изменять, удалять или перезаписывать существующие данные (применяется только к файлам)

Определяет, может ли субъект безопасности записывать или изменять стандартные атрибуты (например, Read-only, System, Hidden) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты.

Write Extended Attributes

Определяет, может ли субъект безопасности записывать или изменять расширенные атрибуты (например, EFS, Compression) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты

Delete Subfolders and Files

Позволяет удалять подпапки и файлы, даже если разрешение Delete не предоставлено подпапке или файлу

Позволяет удалять папку или файл. При отсутствии разрешения Delete для файла или папки ее можно удалить, если имеется разрешение Delete Subfolders and Files в родительской папке

Позволяет читать разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет прочитать сам файл

Позволяет изменять разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет изменять сам файл

Определяет, кто может быть владельцем файла или папки. Владельцы всегда могут иметь Full Control, и их разрешения в файле или папке не могут быть постоянно отменены, если при этом не отменяется и право владения

Администраторы редко используют это разрешение. Применяется для синхронизации в многопотоковых, многопроцессных программах и определяет взаимодействие между несколькими потоками, которые обращаются к одному ресурсу

Автор: Роджер Граймз

Этот пост March 20, 2008 at 11:22 am опубликовал molse в категории Документация. Желающие могут оформить RSS подписку на комменты. Both comments and trackbacks are currently closed.

3 комментов оставлено (Add 1 more)

1. kres on November 17th, 2010 at 10:23 am

webveter: есть замечательная програмулина AccessEnum.

Читайте также: