Como é possível receber erros de acesso negado mesmo depois de atribuir as permissões corretas?

4

Eu tenho trabalhado em uma migração de servidor recentemente e limpo problemas de permissões em alguns servidores clonados do Windows 2008. Eu uso rotineiramente procmon para restringir os problemas de permissões e corrigi-los, depois retomar o teste.

Algo que confunde minha mente é quando eu atribuo as permissões adequadas e, em seguida, executo o teste novamente, e ainda recebo o mesmo erro "ACCESS DENIED" em procmon para o mesmo usuário que acabei de atribuir Controle total para esse diretório ou chave do registro que falha.

Como isso é tecnicamente possível? Além de não ter o conjunto adequado de ACL, por que o ACCESS DENIED seria devolvido?

Nesta dor de cabeça específica, tenho uma conta do Active Directory que usamos para executar nossos serviços que precisam ser capazes de abranger vários servidores, e ela recebe de forma consistente erros ACCESS DENIED em HKEY_CLASSES_ROOT \ Wow6432Node \ CLSID. Tripliquei para verificar se esse usuário tem acesso Controle total nessa chave, mas ainda assim acontece.

Por que vale a pena, aqui estão os detalhes do procmon:

Date & Time:    8/9/2011 5:13:27 PM
Event Class:    Registry
Operation:      RegOpenKey
Result:         ACCESS DENIED
Path:           HKCR\Wow6432Node\CLSID
TID:            5084
Duration:       0.0000073
Desired Access: Read

Description:    Event Alarm Service
Company:        Dorian Software Creations, Inc.
Name:           EvtAlarm.exe
Version:        6.0.0.148
Path:           C:\Program Files (x86)\Event Alarm\EvtAlarm.exe
Command Line:   "C:\Program Files (x86)\Event Alarm\EvtAlarm.exe"
PID:            5232
Parent PID:     616
Session ID:     0
User:           OUR\SpecialUser
Auth ID:        00000000:09af42e2
Architecture:   32-bit
Virtualized:    False
Integrity:      High
Started:        8/9/2011 5:13:27 PM
Ended:          8/9/2011 5:13:39 PM

Editar: Agradece a todos pelo feedback. Eu resolvi o nosso problema subjacente, embora a minha pergunta ainda esteja como eu não sinto que o que eu fiz é realmente uma explicação, portanto, não vou postar isso como uma resposta oficial. Seguindo o conselho da empresa que faz o software em questão, adicionei a conta de serviço em questão ao grupo Administradores local e agora é possível iniciar com êxito, e os erros ACCESS DENIED acabaram. Ainda não faz sentido para mim, pois as permissões (incluindo as permissões efetivas) mostraram que esta conta de serviço deveria ter o direito de acessar a chave de registro que estava sendo negada ...

    
por Mason G. Zhwiti 10.08.2011 / 02:41

2 respostas

2

O mais provável é que o token do usuário não tenha sido regenerado. Quando um usuário efetua login / autentica um token de segurança é gerado para ele com todas as suas permissões. Quando ocorrem alterações nas permissões, o usuário precisa ter seu token de segurança regenerado com o SAM local ou o controlador de domínio. Normalmente, isso é apenas um problema para atribuições de direitos do usuário e não permissões de objeto.

Outra possibilidade é o conceito se as negações tomando precedência permitirem. É possível que uma recusa seja maior na cadeia de herança que está caindo em cascata e causando os problemas de permissão.

    
por 10.08.2011 / 03:01
-2

Eu tive um problema parecido com o meu aplicativo. A solução para mim foi desativar o UAC

    
por 23.10.2017 / 17:23