Разрешения Windows 10 нарушены после переустановки ОС

Question

это ВСЕГДА случается:

У меня есть ПК с Windows 10 с пятью жесткими дисками, каждый из которых работает как раздел. Я использую раздел C: для ОС и другие для данных, резервного копирования и так далее. Разделы: C:, D:, E:, F: и G:.

В конце концов мне пришлось отформатировать диск C:, чтобы получить новую установку Windows. Но хлопоты были настолько сильными, что я сожалею о том, что сделал это: оказывается, предыдущая установка присвоила идентификатор пользователя каждому разделу (SID?). Теперь я могу получить доступ только к диску C: и, что любопытно, к D:, но не к E: to G:. (Кстати, текущий D: это прежний F:, который поменял буквы дисков).

Я проверяю вкладку безопасности в свойствах диска и вижу, что "СИСТЕМА" и "Администраторы" имеют полный доступ и контроль, а также мошенническую "неизвестную" учетную запись, начинающуюся с буквы "S" и набор символов. Я удалил их.

Я единственный пользователь этого компьютера (с учетной записью Microsoft) и тип учетной записи «Администратор». Но я все еще не могу получить доступ к этим дискам; Я получаю сообщение «Доступ запрещен». Вопрос 1: почему это так?

Слабое решение состоит в том, чтобы вступить во владение «лично» (назначить разрешение на основе пользователя, что не рекомендуется) - сделать так, чтобы моя учетная запись пользователя (Microsoft) стала владельцем и имела полный доступ. Проблема в том, что это назначает эту новую идентичность ВСЕМ файлам на этих дисках, и один содержит мою папку Dropbox на 650 ГБ, а другой содержит мое зеркало на 650 ГБ OneDrive. Поскольку метаданные всех файлов изменяются с помощью этой процедуры, мне придется заново синхронизировать ВСЕ мои данные в обоих облаках, что недопустимо.

Вопрос 2: Как я могу предотвратить это в следующий раз, когда я отформатирую диск C:?

п.с. Я не могу использовать команду icacls * /T /Q /C /RESET потому что у меня нет доступа к этим дискам с самого начала.

Answer 1

При использовании предыдущей установки Windows вы давали права доступа к файлам пользователю или пользовательской группе. Ваша новая установка Windows ничего не знает об этом пользователе / группе, поэтому она не может показать имя, но должна была показать внутренний идентификатор (называемый SID) пользователя / группы что-то вроде: S-1-5-21-555548493-16897873-2819830480-1002

Если вы планируете использовать файлы из более чем одной установки Windows, например, с использованием двойной загрузки, или можете установить новую Windows после замены старой установки, никогда не рекомендуется назначать права доступа к файлам для пользователя или группы, которую вы используете. создано.

Если членство в группе users недостаточно детально, вы можете использовать другие встроенные группы окон для назначения разрешений. Поскольку эти группы имеют одинаковые внутренние идентификаторы безопасности при каждой установке Windows, разрешения для файлов остаются неизменными.

Встроенные группы:

 Access Control Assistance Operators S-1-5-32-579
 Administrators                      S-1-5-32-544
 Backup Operators                    S-1-5-32-551
 Cryptographic Operators             S-1-5-32-569
 Distributed COM Users               S-1-5-32-562
 Event Log Readers                   S-1-5-32-573
 Guests                              S-1-5-32-546
 Hyper-V Administrators              S-1-5-32-578
 IIS_IUSRS                           S-1-5-32-568
 Network Configuration Operators     S-1-5-32-556
 Performance Log Users               S-1-5-32-559
 Performance Monitor Users           S-1-5-32-558
 Power Users                         S-1-5-32-547
 Remote Desktop Users                S-1-5-32-555
 Remote Management Users             S-1-5-32-580
 Replicator                          S-1-5-32-552
 System Managed Accounts Group       S-1-5-32-581
 Users                               S-1-5-32-545

но многие из этих групп не подходят для этой цели по нескольким причинам, которые я здесь пропускаю. Лично я использую группу « Replicator », вы также можете использовать группу « Remote Desktop Users », если предоставление пользователю доступа RDP не является проблемой.

Это все о будущем, у ваших нынешних дисков с данными все еще есть проблема, у вас нет выбора, кроме как предоставить группе администраторов право собственности на все файлы, а затем назначить нужные правильные разрешения. Вы должны использовать takeown.exe и icacls.exe , проверить это с ограниченным числом файлов, а затем применить свои правила доступа ко всем файлам.

Поскольку вы фактически не изменяете содержимое файлов, а только метаданные, я не уверен, что Dropbox даже воспринимает это как изменение. Я сомневаюсь, что Dropbox копирует списки управления доступом NTFS в облако, но я не уверен в этом.