Os arquivos ainda podem ser modificados mesmo após a configuração da permissão '' Somente leitura '' pelo ICACLS. Por que não está funcionando?

Navegue suas respostas
0

Eu sou o administrador do meu PC e existem alguns outros usuários nele. Eu defino uma pasta (Gabi) como "Somente leitura" para um usuário específico (Alice), usando o ICACLS por meio do prompt de comando (estou usando o windows 7 no VirtualBox). A pasta tem alguns arquivos ".txt". Eu usei o seguinte comando: 

icacls "C:\ITSM Lab1\Administration\Gabi" /grant:r Alice:(OI)(CI)R /T

O comando acima foi executado com êxito no Prompt de Comando. Mas os arquivos na pasta ainda podem ser modificados (Alice pode alterar o arquivo de texto e também salvar o arquivo. Ele também pode renomear. Ele pode até mesmo apagar toda a pasta com os arquivos).

Eu também tentei este link: Use icacls para tornar um diretório somente leitura no Windows 7 . Eu segui o link e tentei o seguinte comando: 

C:\Windows\system32\Icacls "C:\ITSM Lab1\Administration\Gabi" /deny "Alice": (CI)(OI)(W,D)  /Grant:r "Alice":(CI)(OI)R /T

No comando acima, eu neguei "write" e "delete" para Alice, e dei a permissão "Read-only" a Alice. Este comando foi executado com sucesso, mas a pasta "Gabi" fica completamente inacessível e não pode ser esqueletizada, o que não serve ao meu propósito.

Depois, restaurei o Windows 7 para o estado antes de executar o código acima.

Eu não sei porque os comandos são não realmente definindo a permissão "somente leitura". Na verdade, quero definir a permissão de modo que Alice possa ler os arquivos txt, mas não possa alterar / excluir os arquivos / pastas, e ele não poderá criar nenhum novo arquivo / pasta na pasta "Gabi". Acabei de verificar a permissão para Alice via GUI (Guia Segurança): na coluna "Permitir", apenas '' Ler '' está marcado (não há outras marcas de seleção). Portanto, a GUI está mostrando que a permissão "somente leitura" é aplicada na pasta Gabi. Mas, Alice ainda pode alterar e excluir esses arquivos e a pasta. Eu não sei porque.

O que estou fazendo de errado?

Antes de executar o primeiro comando icacls "C:\ITSM Lab1\Administration\Gabi" /grant:r Alice:(OI)(CI)R /T , executei o seguinte comando: 

icacls "C:\ITSM Lab1\Administration\Gabi" /grant Alice:R /T

Quando executo o comando: icacls "C:\ITSM Lab1\Administration\Gabi , recebo o seguinte resultado: 

icacls "C:\ITSM Lab1\Administration\Gabi"
C:\ITSM Lab1\Administration\Gabi Tanvir-PC\Alice:(R)
                                 Tanvir-PC\Alice:(OI)(CI)(R)
                                 Tanvir-PC\Gabi:(OI)(CI)(F)
                                 Tanvir-PC\SysAdministrator:(OI)(CI)(F)
                                 Tanvir-PC\CEO:(OI)(CI)(F)
                                 Tanvir-PC\Managers:(I)(OI)(CI)(N)
                                 Tanvir-PC\SysAdministrator:(I)(OI)(CI)(F)
                                 Tanvir-PC\CEO:(I)(OI)(CI)(F)
                                 BUILTIN\Administrators:(I)(F)
                                 BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
                                 NT AUTHORITY\SYSTEM:(I)(F)
                                 NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
                                 BUILTIN\Users:(I)(OI)(CI)(RX)
                                 NT AUTHORITY\Authenticated Users:(I)(M)
                                 NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
Successfully processed 1 files; Failed processing 0 files

ATUALIZAÇÃO:

NomeuWindows7(noVirtualBox),existem4gruposlocais(quecrieiporlinhadecomando):

Administration
CEO
Managers
SysAdministrator

Cadagrupolocaltemusuário(s)(queeucrieiporlinhadecomando):

Usersin"Administration" : Alice, Gabi

Users in "CEO": Chief

Users in "Managers" : Anthony, Elisa

Users in "SysAdministrator": Admin

    
por kaly 15.10.2017 / 18:58

1 resposta

1

O problema: Você usuário está recebendo

direitos adicionais

I want to set the permission in such a way that Alice will be able to read the txt files, but won't be able to change/delete the files/folder

Para obter esse resultado, seu usuário deve conceder apenas permissões de leitura NTFS à pasta. O fato de seu usuário ainda poder modificar objetos nessa pasta indica que ele recebeu mais do que apenas a permissão de leitura. As permissões de NTFS são aditivas. Portanto, todas as permissões concedidas a um usuário são adicionadas para determinar o que o usuário pode fazer no final das contas.

Um usuário pode receber permissões por meio de permissões concedidas diretamente a seu objeto de usuário ou por meio de permissões concedidas a um grupo do qual o usuário é membro.

De acordo com a saída do comando icacls "C:\ITSM Lab1\Administration\Gabi" , as seguintes identidades têm (M) odify ou (F) ull permissão para a pasta (excluí SYSTEM):

  • Tanvir-PC \ Gabi: (OI) (IC) (F)
  • Tanvir-PC \ SysAdministrator: (OI) (CI) (F)
  • Tanvir-PC \ CEO: (OI) (IC) (F)
  • Tanvir-PC \ SysAdministrator: (I) (OI) (IC) (F)
  • Tanvir-PC \ CEO: (I) (OI) (IC) (F)
  • BUILTIN \ Administradores: (I) (F)
  • BUILTIN \ Administradores: (I) (OI) (CI) (IO) (F)
  • NT AUTHORITY \ Usuários autenticados: (I) (M)

O problema mais óbvio é que a identidade especial de usuários autenticados tem permissões de modificação. Este grupo tem automaticamente como membros todos os usuários com uma conta válida na máquina , que vai inclua seu usuário.

Além disso, se houver outros grupos nessa lista dos quais seu usuário é membro, a participação dele nesses grupos também lhe conferirá mais de permissões de leitura.

Soluções disponíveis

Remova o usuário de qualquer grupo que esteja recebendo mais do que a permissão de Leitura da pasta ou revogue as permissões desse grupo para a pasta.

Se o item acima não for uma opção, você pode Negar ao usuário as seguintes permissões na pasta. As permissões Negar sempre substituem as permissões Permitir, portanto, isso neutraliza todas as permissões Permitir concedidas ao usuário, independentemente de como elas são concedidas:

Permissões para negar:

  • WD - gravar dados / adicionar arquivo
  • AD - anexar data / adicionar subdiretório
  • WA - atributos de gravação
  • DC - excluir filho
  • DE - excluir
  • WEA - escreva atributos estendidos

Observação: O uso de permissões Negar geralmente é uma má ideia e deve ser usado apenas como último recurso.

Uma maneira melhor de gerenciar permissões

É típico precisar conceder a vários usuários as seguintes permissões para uma pasta:

  • ler
  • Modificar

Uma abordagem de prática recomendada que minimiza o trabalho envolvido na concessão / revogação de permissões para usuários é usar Grupos de recursos . Um grupo de recursos é simplesmente um grupo que recebeu um tipo específico de permissão para um objeto. Por exemplo, sua pasta precisaria dos seguintes grupos:

  • r_Gabi-Read (permissões de leitura concedidas)
  • r_Gabi-Modify (permissões de modificação concedidas)

Para modificar as permissões de um usuário ou grupo para o objeto, basta adicioná-lo / removê-lo da associação no grupo de recursos apropriado. Isso é mais rápido do que modificar as permissões no próprio objeto. Ele também tem a vantagem de deixar claro no snap-in do MMC Usuários e Grupos do Active Directory (ou Contas Locais para PCs sem domínio) exatamente quem pode acessar o que.

Essa estratégia exige que, além das permissões concedidas aos grupos de recursos, você conceda somente as permissões adicionais de Controle total às identidades SYSTEM e Administrators . Nenhuma outra permissão deve ser concedida ao objeto.

    
por 15.10.2017 / 21:09

Tags

É possível usar a saída do comando bundle show como um argumento do cd? Verificação da soma de verificação dd-wrt (documentos antigos desatualizados)