Просто для пояснения: я хотел бы удалить расширенное разрешение, называемое "Изменить разрешения", потому что даже если вы удаляете разрешения из группы (в данном случае администраторов) с помощью icacls , в то время как никто в группе не может редактировать или удалять целевой файл, они все еще могут зайти в свойства файла и отредактировать права доступа, чтобы вернуть себя « Полный» или « Изменить» или еще что-то.

Я не хочу сходить с ума по таким вопросам, как «Почему вы хотите удалить эти разрешения у администраторов компьютера?« Достаточно сказать, что я оставил SYSTEM с Полным контролем и управляю всем, что мне нужно, с помощью службы, работающей как ЛОКАЛЬНАЯ СИСТЕМА, поэтому в основном все еще есть доступ к файлу, но мне нужен доступ к нему.

Я просто не могу найти в синтаксисе iCacls ничего, что позволяло бы мне изменять «расширенные» разрешения, в которых находится пункт «Изменить разрешения» .

1 ответ1

2

Да, это прямо там, в icacls /? экран справки:

    perm is a permission mask and can be specified in one of two forms:
        a sequence of simple rights:
                [...]
        a comma-separated list in parentheses of specific rights:
                DE - delete
                RC - read control
                WDAC - write DAC
                WO - write owner
                S - synchronize
                AS - access system security
                MA - maximum allowed
                GR - generic read
                GW - generic write
                GE - generic execute
                GA - generic all
                RD - read data/list directory
                WD - write data/add file
                AD - append data/add subdirectory
                REA - read extended attributes
                WEA - write extended attributes
                X - execute/traverse
                DC - delete child
                RA - read attributes
                WA - write attributes
        inheritance rights may precede either form and are applied
        only to directories:
                (OI) - object inherit
                (CI) - container inherit
                (IO) - inherit only
                (NP) - don't propagate inherit
                (I) - permission inherited from parent container

Это общие имена для всех "расширенных" разрешений, которые вы видите. "Изменение разрешений" называется "Запись ЦАП", потому что оно позволяет писать / изменять Список контроля доступа по усмотрению.

Включенные примеры специально упоминают это разрешение:

        icacls file /grant Administrator:(D,WDAC)
        - Will grant the user Administrator Delete and Write DAC
          permissions to file.

        icacls file /grant *S-1-1-0:(D,WDAC)
        - Will grant the user defined by sid S-1-1-0 Delete and
          Write DAC permissions to file.

Вы можете сделать противоположное приведенному выше примеру и явно /deny им разрешение WDAC.

Однако помните, что схема разрешений имеет две сети безопасности:

  • Владелец файла всегда может изменить свои разрешения, минуя любые записи разрешений «запретить запись-DAC». Если вы не хотите, чтобы администраторы могли предоставлять себе дополнительные разрешения, убедитесь, что файл не принадлежит администраторам (например, установите для его владельца значение SYSTEM).

  • Администраторам предоставляется SeTakeOwnershipPrivilege, и он всегда может изменить владельца файла, минуя любые записи о правах доступа «запретить запись». Если вы не хотите, чтобы администраторы могли это делать ... ну, они администраторы, они уже владеют всей системой.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .