[systeman]

Уже разобрался спасибо, добавил владельца.

[ProFFeSSoR]

Цитата Morpheus:

ProFFeSSoR, только что абсолютно спокойно удалил папку Персонажи. Перед удалением сменил ей владельца на себя и выдал себе полные права. »

Получилось, спасибо. А Trusted Installer это установщик Виндовс или нет? Просто владельцем папок до этого был назначен он.

[Celsus]

ProFFeSSoR, так и должно быть - это, если я правильно понял, сделано для защиты важных файлов от случайного удаления или изменения неопытным пользователем, который работает под учетной записью администратора, или программами - они очень любят портить (заменять своими) системные файлы.

Phoenix, Согласен. В Windows уже выставлены на ключи реестра и системные файлы права более или менее оптимально, и их лучше не трогать. Раньше думалось наоборот
Единственная защита в XP, которую нашел, работа без административных прав. В Windows 7, к счастью, есть UAC.

Помогите, пожалуйста, разобраться с xcacls/cacls, subinacl, и, возможно, icacls

читать дальше »

1. Вопрос №1: Как ДЛЯ ФАЙЛОВ И КЛЮЧЕЙ РЕЕСТРА правильно поставить права только на чтение (rx) в xcacls и subinacl для всех пользователей и групп, и при этом, чтобы объект нельзя было переименовать и удалить?

Все ли верно:

xcacls c:\1.txt /e /p S-1-1-0:rx (ключ /e означает, что существующая запись только редактируется - добавляются группы и/или пользователи к уже имеющимся в записи)
или
xcacls c:\1.exe /p S-1-1-0:rx (список групп и/или пользователей создается заново, теперь в записи будут присутствовать только группы и/или пользователи, которые указаны в команде)

Ключ /t - обрабатываются также подкоталоги и файлы в них, в данном случае он бесполезен, но в случае с папкой его надо будет написать.

Ключ /p удаляет все остальные "галочки" доступа, ставя только те, что указаны в команде (в отличие от ключа /g, который добавляет "галочки" доступа, которые указаны в команде, к уже имеющимся).

При установках только разрешений получается правило - что не разрешено, то запрещено. При этом галочек запретов нет, в окне ГРУППЫ И ПОЛЬЗОВАТЕЛИ стоят только галочки разрешений "чтение и выполнение" и "чтение". Также, можно выставить эти же права командами
xcacls c:\1.exe /p S-1-1-0:rx
subinacl /file c:\1.txt /perm /grant=S-1-1-0=rx
После этого файл можно читать и выполнять, а изменять его содержание (сохранять новую версию на месте старой) нельзя. Но файл можно переименовать и удалить.

Неясный момент: если в ДОПОЛНИТЕЛЬНО убрать все галки в столбце РАЗРЕШИТЬ (в ЭЛЕМЕНТАХ РАЗРЕШЕНИЯ пропадет строчка РАЗРЕШИТЬ), и в стобце ЗАПРЕТИТЬ поставить все галочки, кроме стандартных пяти ("траверс папок\выполнение файлов", "содержание папки\чтение данных", "чтение атрибутов", "чтение дополнительных атрибутов", "чтение разрешений"), наконец-то получилось! - файл можно будет читать\запускать, но его нельзя будет удалить или переименовать.
Однако, если поставить хотя бы 1 галочку в столбце РАЗРЕШИТЬ (в ЭЛЕМЕНТАХ РАЗРЕШЕНИЯ появится строчка РАЗРЕШИТЬ), опятьдвадцатьпять, файл можно будет удалить и переименовать.
Почему так?

Вопрос №2: Как галочка, например, "чтение атрибутов" в столбце РАЗРЕШИТЬ влияет на удаление и переименование файла?

Команды, по сути, одинаковые:
xcacls 1:\1.txt /p S-1-1-0:rx
subinacl /file c:\1.txt /perm /grant=S-1-1-0=rx
означают 5 галочек в столбце РАЗРЕШИТЬ: файл нельзя изменять (сохранять новую версию на месте старой), но, как я уже сказал, можно удалить. Если столбцы РАЗРЕШИТЬ и ЗАПРЕТИТЬ инверсировать (что описано в предыдущем абзаце), разрешения остаются теми же (чтение, чтение и выполнение), но в ЭЛЕМЕНТАХ РАЗРЕШЕНИЙ вместо строчки РАЗРЕШИТЬ появляется строчка ЗАПРЕТИТЬ и файл нельзя переименовать и удалить, что и нужно.
Но как это сделать?

Вопрос №3: как добиться в xcacls и subinacl, чтобы файл/ключ реестра нельзя было изменить, т.е. сохранить новую версию на месте старой, переименовать и удалить?

[Tima182]

Привет. Помогите?!
В виндовс 7 под своею учетной записью хочу полный доступ к папке программ файл иметь.
Как можно через коммандную строку сделать? Мли лучше через реестр?
Убрать доступ всех пользователей и оставить только свою учетку.
Делаю полный доступ к папке, пишет: Отказано в доступе.
Спасибо что переместили.

[Celsus]

Сделал картинки, чтобы понятнее объяснить причину моего непонимания работы прав доступа в Windows 7.

Обратите внимание на картинку 0 - права не унаследованы от другой папки. В конце я объясню, почему оставил только группу Администраторы.

Примечание: галочки "чтение разрешений" и "смена владельца" я не ставил, чтобы не было путаницы.

Картинка 1
Создан элемент разрешения, в котором 5 галок соответствуют набору "Чтение и выполнение".
Результат. Файл нельзя записать (перезаписать старую версию новой), но множно переименовать и удалить.

Картинка 2
Сделан реверс. Стоявшие галочки "Разрешить" убраны, а там, где не было галочек "Запретить", галочки "Запретить" поставлены (кроме последних двух - чтения разрешений и смены владельца)
Результат. Во вкладке дополнительно "Элемент разрешения" типа "Разрешить" пропал, на его месте появился "элемент разрешения" типа "Запретить". Файл нельзя открыть. Потому что пропали явные разрешения?

Картинка 3
К галочкам с Картинки 2 добавил галочки с Картинки 1.
Результат. Файл снова можно открыть, но нельзя перезаписать. И... его снова можно переименовать и удалить. Почему??? Я не убирал явные запреты на удаление и дозапись, которые на Картинке 2. Каким образом разрешения из Картинки 1 отменяют запрет на переименование и удаление?

Еще один момент, который мне непонятен. Если оставить только запреты из Картинки 2, но добавить группу Пользователи и указать в ней хотя бы 1 ЛЮБОЕ разрешение, файл снова можно будет переименовать и удалить.

Каак сделать так, чтобы файл можно было читать и выполнять, но нельзя было переименовать и удалить. Интересует, как этого добиться не только обычными средствами (вкладкой безопасности), но и с помощью xcacls, subinacl и icacls. С icacls дела не имел, но в xcacls и subinacl можно менять файлы выборочно по типу, например, изменить права доступа для всех файлов с разрешением *.txt в папке или подпапках.

Tima182, На системные папки менять доступ не нужно, иначе перестанет работать система.
Для обычных папок можно использовать xcacls (скопировать файлв в папку Windows/system32) - она нужна для работы из-под командной строки.
Примерно так:
xcacls c:\*.txt /e /t /p "Имя пользователя":доступ
список доступов можно посмотреть, набрав в командной строке xcacls /?

Ключ /t - обрабатываются также подкаталоги и файлы в них
Ключ /e означает, что существующая запись только редактируется - добавляются группы и/или пользователи к уже имеющимся в записи). Если ключа /e нет, то прежние списки пользователей удаляются.
Ключ /p удаляет все "галочки" доступа (разрешений или запретов), ставя только те, что указаны в команде. В этом его отличие от ключа /g, который добавляет "галочки" доступа (разрешений или запретов), которые указаны в команде, к уже имеющимся.
Если в имени пользователя есть пробел, нужно заключить его в двойные кавычки.
*.txt - означает, что обработаются все файлы с таким расширением. Но если нужно обработать только папки с подпапками и файлами в них, то просто указать путь к папке.
Еще раз повторю, что системный диск лучше не трогать вообще.
Если не выходит сменить разрешение, станьте владельцем папки или файла. Поможет subinacl (копировать в windows/system32)
subinacl /file c:\1.txt /perm /grant=Имя_пользователя=права
/perm отменяет все прежние разрешения (чистит список, чтобы создать его по новой)
/file - применяется для файлов и папок. Чтобы узнать, что может subinacl, лучше внимательно посмотреть документацию, хотя могут все равно остаться вопросы.

Чтобы убедиться, что все сделано без ошибок, в файле bat в конце напишите pause, чтобы окошко не закрывалось после выполнения команд.

[Призрак]

Здравствуйте, уважаемые участники дискуссии!

На моем компьютере установлена Windows 7 Ultimate x64 SP1, учетная запись администратора системы

С недавнего времени стали твориться очень странные вещи - когда я подключаю внешний съемный диск USB или флешку, то при копировании этого файла система меня предупреждает, что для копирования на накопитель нужно обладать правами администратора. А администратор видать не я а злой Дядя Степа, который меня и не пускает. Когда я нажимаю кнопку Продолжить, то файл копируется. Но меня удивляет другое - все документы на накопителе открываются только для чтения, выходит, чтобы отредактировать документ я должен его сначала скопировать в Мои документы, а потом отредактировать. Очень весело получается, выходит, операционная система хозяйка всего и вся, а я имею заниженные права на файлы. Для группы Администраторы все разрешения выставлены, в чем может быть дело? Помогите пожалуйста разобраться.

[okshef]

Призрак, читайте тему.

[bilytur]

Господа, приведите пример комманды, запускаемой от имени админа, и дающий права на файл пользователю.
т.е. история такая
Админ создает файл, скажем "мой_файл.txt"
Но этот файл, по умолчанию не могут изменить НЕадмины.
И вот нужно команда, запускаемая от имени админа, и дающая права на этот файл обычным пользователям.

что-то вроде
some.cmd "мой_файл.txt"

и после этого файл "мой_файл.txt", могут спокойно изменять, удалять неадмины.

спасибо.

[Iska]

Цитата bilytur:

Админ создает файл, скажем "мой_файл.txt". Но этот файл, по умолчанию не могут изменить НЕадмины. »

Не совсем верно изложено. Ибо не суть важно кто создаёт, а где создаёт.

По теме: ознакомьтесь с прикреплённым постом в заголовке темы.

[bilytur]

Цитата Iska:

Ибо не суть важно кто создаёт, а где создаёт. »

не в программ файлес, и даже не на диске С.

пробовал разные каталоги не системного диска D
везде результат одинаков.

Цитата Iska:

ознакомьтесь с прикреплённым постом в заголовке темы. »

поробую осилить. там их много...