Команда TAKEOWN – сменить владельца файла или каталога

Просмотр или изменение файлов избирательных таблиц управления доступом (DACL).

Иногда может возникнуть необходимость проверить работоспособность DNS, посмотреть как быстро работает сервер, увидеть IP адрес и скорость его получения для определенного домена. Для этого используется утилита nslookup. С помощью нее вы можете не только получить IP адрес по домену, но и выполнить обратное преобразование, а также проверить установлены все необходимые записи DNS.

В этой статье мы рассмотрим как пользоваться nslookup, что делает эта утилита, а также ее синтаксис и опции.

In this comprehensive icacls guide, you’ll learn how to list, set, grant, remove, and deny permissions, as well as everything you need to know about Microsoft’s command line tool for managing file and folder permissions.

In this article, you will learn how to manage file and folder permissions with the help of icacls. Before diving into the icacls command directly, you should be aware of certain things related to permissions and security in Windows.

Время на прочтение

Так, чтобы при запуске скрипта появлялся запрос от UAC

Утилита runas.exe меня не устроила, т.к. она требует явного указания имени пользователя, ввода пароля или использования saved credentials. «Сторонние» утилиты я даже не рассматривал – ошибки в коде я и сам сделаю, зачем мне еще чужие? 🙂

Перепробовав несколько вариантов я остановился на собственноручно написанном скрипте для PowerShell:

Фактически, это вызов ShellExecuteEx() с параметром lpVerb = «RunAs».

Использовать комманлет Start-Process у меня не получилось, т.к. при одновременном указании параметров -Verb RunAs и -Wait он завершается с ошибкой:

Впрочем, может быть, я просто плохо искал, и нужная мне утилита все-таки существует?.. В таком случае я буду рад вашим комментариям!

Если в Windows 10 возникают проблемы, это может быть связано с отсутствием или повреждением файлов. Это руководство расскажет вам о восстановлении системы с помощью командных инструментов обслуживания образов развёртывания и управления ими (DISM) и средства проверки системных файлов (SFC).

В Windows 10 обслуживание образов развертывания и управление ими – это инструмент командной строки, предназначенный для администраторов для подготовки, изменения и восстановления образов системы, включая среду восстановления Windows, программу установки Windows и Windows PE (WinPE). Однако любой желающий может также использовать этот инструмент с локальным образом восстановления для решения типовых системных проблем.

Обычно, когда вам нужно устранить конкретную ошибку, определить, почему устройство перестаёт загружаться правильно, или решить проблемы с производительностью, вы можете использовать инструмент команды System File Checker для сканирования и замены отсутствующих или повреждённых системных файлов с помощью образа для восстановления. Проблема использования этого подхода заключается в том, что если один или несколько файлов Windows 10 в образе повреждены, команда SFC не сработает. Если вы столкнулись с такой проблемой, можно использовать образ «install.wim» с DISM для восстановления образа, а затем использовать инструмент SFC для исправления установки без необходимости повторно переустанавливать Windows с нуля.

В этом руководстве по Windows 10 рассказывается, как использовать инструменты DISM и SFC с командной строкой, чтобы вернуть компьютер в рабочее состояние без необходимости переустановки системы.

Предупреждение. Команды, описанные в этом руководстве, являются безопасными, но так как вы будете вносить изменения в систему, рекомендуется создать полную резервную копию, прежде чем продолжать.

Команда TAKEOWN используется для смены владельца файла или каталога на локальном или удаленном компьютере. В качестве владельца может быть установлен либо текущий пользователь, либо группа Администраторы.

Формат командной строки:

Параметры командной строки:

/S система – Удаленная система, к которой выполняется подключение.

/F имя_файла – Шаблон для имени файла или каталога. Допускается подстановочный знак “*” при указании шаблона. Разрешен формат общий_ресурсимя_файла.

/A – Делает владельцем группу администраторов вместо текущего пользователя.

/R – рекурсия: программа будет обрабатывать файлы в указанном каталоге и всех его подкаталогах.

/D ответ – Ответ по умолчанию, когда текущий пользователь не имеет разрешения “Содержимое папки” на каталог. Это случается при работе с подкаталогами в рекурсивном режиме (/R). Ответы:
“Y” (владение) или “N” (пропустить).

/SKIPSL – Не переходить по символическим ссылкам. Применяется только к /R.

/? – Выводит справку.

1) Если не указан параметр /A, владельцем файла становится вошедший в систему пользователь.

2) Шаблоны, в которых одновременно используются “?” и “*”, не поддерживаются.

3) Параметр /D подавляет вывод запросов на подтверждение.

TAKEOWN /? – отобразить справку по использованию команды.

TAKEOWN /F C:myfile.txt – сделать текущего пользователя владельцем файла C:myfile.txt

TAKEOWN /F “C:my file.txt” – если имя файла или каталога содержит пробел, то оно заключается в двойные кавычки.

TAKEOWN /F %windir%*.txt – сделать текущего пользователя владельцем всех текстовых файлов в каталоге Windows, заданном значением переменной windir

TAKEOWN /F %windir%*.txt /A – сделать владельцем всех текстовых файлов в каталоге Windows группу Администраторы.

TAKEOWN /F C:Mydir /R /A – назначить группу Администраторы владельцем каталога C:MyDir и всех его подкаталогов.

TAKEOWN /F C:MyDir /R /D N – сделать текущего пользователя владельцем каталога C:MyDir и всех его подкаталогов. Пропускать те каталоги, где пользователь не имеет разрешения на просмотр содержимого .

TAKEOWN /F C:MyDir /R /D Y – сделать текущего пользователя владельцем каталога C:MyDir и всех его подкаталогов, включая и те каталоги, на которые нет разрешения на просмотр содержимого .

TAKEOWN /F C:WindowsSystem32
egedit.exe – назаначить владельцем исполняемого файла редактора реестра, текущего пользователя.

Кроме того, эта команда используется для поиска и устранения проблем с DNS. В данном руководстве мы рассмотрим наиболее типичные примеры ее применения.

Команда nslookup может работать в интерактивном и неинтерактивном режимах. Интерактивный режим позволяет пользователю в режиме диалога отправлять DNS-серверу запросы о различных узлах и доменах. Неинтерактивный режим позволяет отправить один запрос об одном узле или домене.

Наиболее распространенные опции и типы аргументов мы рассмотрим ниже в соответствующих примерах.

Получение IP-адреса домена

$ nslookup yandex.ru

Авторитативный и неавторитативный ответы

В приведенном результате присутствует фраза «Non- Authoritative Answer» (неавторитативный ответ).

Авторитативным считается ответ от DNS-сервера, на котором есть полная информация о зоне домена. Во многих случаях на DNS-серверах такой информации нет, они хранят кэш с результатами прошлых запросов, на которые был получен авторитативный ответ. Когда такой сервер получает запрос, он осуществляет поиск в файле кэша и при наличии необходимых данных отправляет их как неавторитативный ответ, как в рассматриваемых нами примерах.

Запрос записи MX

$ nslookup -query=mx redhat.com

Запрос записи NS

Запись NS (Name Server, сервер имен) содержит соответствие доменного имени DNS-серверу, авторитативному для заданного домена. Ее можно получить при помощи опции -query=ns:

$ nslookup -query=ns yandex.ru

Запрос записи SOA

Запись SOA (Start of Authority, начальная запись зоны) содержит информацию о зоне домена, адрес его администратора, серийный номер и т.д. Ее можно получить при помощи опции -query=soa:

$ nslookup -query=soa yandex.ru

Просмотр всех имеющихся записей DNS

При помощи опции -query=any мы можем просмотреть все записи DNS, которые у нас есть для заданного доменного имени:

$ nslookup -type=any google.com

Обратный поиск DNS

$ nslookup 5.255.255.70

Использование конкретного DNS-сервера

Для разрешения доменного имени можно использовать конкретный сервер имен (в данном случае ns1.redhat.com):

$ nslookup redhat.com ns1.redhat.com

Обратите внимание, что в результате отсутствует фраза «Non-authoritative answer», так как ns1.redhat.com обладает всей информацией о зоне для redhat.com.

Изменение номера порта

По умолчанию DNS-серверы используют порт 53, но при необходимости можно указать другой номер порта посредством опции -port:

$ nslookup port 56 yandex.ru

Изменение интервала ожидания ответа

Интервал ожидания ответа по умолчанию можно изменить, указав желаемое значение в секундах с опцией -timeout:

$ nslookup -timeout=10 google.com

Режим отладки

При помощи опции -debug вы можете включить режим отладки:

$ nslookup -debug redhat.com

В режиме отладки при поиске выводится информация о пакетах.

Интерактивный режим

Для входа в интерактивный режим запустите команду nslookup без опций. Далее можно вводить необходимые имена или адреса, а также устанавливать парметры при помощи команды set, например, следующие команды интерактивного режима:

возвращают результат, аналогичный команде

Конечно, при поиске записей для одного имени использовать интерактивный режим бессмысленно. Но при необходимости работы с большим количеством записей он очень удобен, так как позволяет работать в режиме диалога.

Заключение

Мы рассмотрели основы работы с командой nslookup, а также основные типы записей DNS. Для более подробной информации о команде и ее опциях можно обратиться к соответствующей man-странице.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Icacls syntax

Don’t worry if the syntax looks a little complicated. It will eventually become clear as we progress through this guide.

Исправление образа восстановления Windows 10

Чтобы запустить средство обслуживания образов развёртывания и управления ими с помощью образа из альтернативного источника (install.wim), выполните следующие действия:

• Откройте меню «Пуск».
• Введите в поиск cmd, нажмите правой кнопкой мыши на верхний результат и выберите параметр «Запуск от имени администратора».
• Введите следующую команду, чтобы восстановить образ Windows 10, и нажмите ввод:DISM /Online /Cleanup-Image /RestoreHealth /Source:E:Sourcesinstall.wimВ команде замените «F» буквой диска, соответствующей точке монтирования ISO в проводнике.
• Необязательно. Введите следующую команду, чтобы ограничить использование центра обновления Windows, и нажмите ввод:DISM /Online /Cleanup-Image /RestoreHealth /Source:ESourcesinstall.wim /LimitAccess
• Необязательно. Введите следующий вариант предыдущей команды для выполнения той же задачи и нажмите ввод:DISM /Online /Cleanup-Image /RestoreHealth /Source:wim:E:Sourcesinstall.wim:1/LimitAccessВ команде измените F:Sources на путь к файлу install.wim.

После выполнения этих действий команда просканирует и устранит наиболее распространённые проблемы, используя файл «install.wim», который вы указали в качестве альтернативного источника.

Команда DISM с опцией CheckHealth

Параметр CheckHealth в DISM позволяет быстро определить, есть ли какие-либо повреждения внутри локального образа Windows 10. Никакого ремонта при этом не выполняется.

Чтобы проверить образ Windows 10 на наличие проблем с DISM, выполните следующие действия:

• Откройте меню «Пуск».
• Введите в поиск cmd, нажмите правой кнопкой мыши на верхний результат и выберите параметр «Запуск от имени администратора».
• Введите следующую команду, чтобы выполнить быструю проверку, и нажмите ввод:DISM /Online /Cleanup-Image /CheckHealth

После выполнения этих действий DISM запустится и проверит любые повреждения данных, которые могут потребовать исправления.Команда DISM с опцией ScanHealthОпция ScanHealth выполняет более расширенное сканирование, чтобы определить, есть ли в образе системы какие-либо проблемы.

• Откройте меню «Пуск».
• Введите в поиск cmd, нажмите правой кнопкой мыши на верхний результат и выберите параметр «Запуск от имени администратора».
• Введите следующую команду, чтобы выполнить расширенное сканирование DISM, и нажмите ввод:DISM /Online /Cleanup-Image /ScanHealth

Расширенное сканирование может занять несколько минут, чтобы проверить и определить, нуждается ли образ Windows 10 в ремонте.

Advanced permissions

icacls RnD /grant:r Auditors:(WDAC) /t /c

Granting advanced permissions using the icacls command

Синтаксис

To export the ACL, use the icacls command with the /save parameter as shown below:

icacls RnD /save rnd_acl_backup /t

Saving the object ACL to a file using the icacls command

Now, I will modify some permissions on this directory and restore them using the backup file we created. Let’s take a look at the directory permissions for a moment.

Viewing the ACL of a directory using the icacls command

icacls C: /restore rnd_acl_backup

Restoring the ACL from backup using the icacls command

You need to provide the path of the parent directory for the /restore parameter to work properly. If you try to use the command as shown below, you will get an error.

icacls C:RnD /restore rnd_acl_backup

The system cannot find the file specified during ACL restoration using icacls

If you take a closer look, the error itself indicates that icacls is looking for a C:RnDRnD directory, which doesn’t exist. So, you got an error stating, ‘The system cannot find the file specified.’ If you open the ACL backup file in a text editor, you will notice that there are references for the relative path to the RnD directory itself. Therefore, you need to carefully type the directory path when using the /restore parameter.

Viewing the backup ACL file that contains the parent directory

To fix this error, you just need to provide the path of the main directory where the RnD directory actually exists. Moreover, it really depends on how you backed up the ACL while using the /save parameter. Some people prefer doing it this way:

icacls RnD* /save rnd_acl_backup_2 /t

This command will not save the ACL of the parent directory (RnD, in our case) itself. If you save the ACL backup file this way, you will notice that there is no reference to the RnD parent directory.

Viewing the backup ACL file that doesn’t contain the parent directory

To restore this backup ACL file, you can use the previous command that gave you an error, like this:

icacls C:RnD /restore rnd_acl_backup_2

An alternative method to restore the ACL from backup using the icacls command

Don’t make changes to the ACL backup file by opening it in a text editor. While doing so might sound intriguing to some people, it could render the ACL backup files unusable, so it is never recommended.

Saving the ACL of a directory and restoring it on a different directory using the icacls command

Displaying the ACL

where RnD is a directory in my C: drive.

Displaying the ACL of a directory object using the icacls command

When you run the icacls command on a file object, the output is slightly different:

Displaying the ACL of a file object using the icacls command

You can see that the ACL of the directory contains values such as (OI) or (CI), but you cannot see these in the file ACL. Instead, you will see an (I), which means the ACE is inherited from its parent container (the RnD directory, in this case). In the Access Control Lists section, we mentioned that (OI), (CI), (IO), and (NP) are inheritance rights and are applicable only to directories (a.k.a. containers).

Let me briefly explain the ACL output returned by this command.

Understanding the ACL returned by the icacls command

• The second part, (OI), indicates that the other (new or existing) objects in this container will inherit this ACE. You will see this only in the case of a directory.
• The third part, (CI), indicates that other containers (or directories) in this parent container will inherit this ACE. Again, you will see this only in the case of a directory.

I hope it has now started making a little sense to you. This will become clearer in the upcoming sections. Let’s keep going.

Как запустить SFC для устранения проблем в Windows 10

Приведенные выше инструкции предназначены для устранения проблем с образом системы, а не с текущей установкой Windows 10. После восстановления образа до работоспособного состояния вы должны использовать командный инструмент System File Checker (SFC), чтобы восстановить текущую систему.

Чтобы использовать инструмент SFC для восстановления установки Windows 10, выполните следующие действия:

• Откройте меню «Пуск».
• Введите в поиск cmd, нажмите правой кнопкой мыши на верхний результат и выберите параметр «Запуск от имени администратора».
• Введите следующую команду, чтобы восстановить установку, и нажмите ввод:Совет: если обнаружены ошибки, вы можете запустить команду три раза, чтобы убедиться, что всё было исправлено.

• Basic permissions
  Full access (F)Modify access (M)Read and execute access (RX)Read-only access (R)Write-only access (W)
• Full access (F)
• Modify access (M)
• Read and execute access (RX)
• Read-only access (R)
• Write-only access (W)
• Advanced permissions

Understanding ACL and ACE

Загрузите файл ISO для Windows 10

• Откройте веб-сайт поддержки Microsoft https://www.microsoft.com/ru-ru/software-download/windows10.
• Нажмите кнопку «Загрузить инструмент сейчас».
• Дважды кликните по файлу MediaCreationToolxxxx.exe для начала установки.
• Нажмите кнопку «Принять».
• Выберите «Создать установочный носитель (USB-накопитель, DVD-диск или файл ISO) для другого ПК».
• Нажмите кнопку «Далее».
• Нажмите кнопку «Далее» снова.
• Выберите вариант «Файл ISO».
• Нажмите кнопку «Сохранить».
• Нажмите по ссылке, чтобы открыть расположение файла в проводнике.
• Нажмите на кнопку «Завершить».
• Дважды нажмите по файлу Windows.iso, чтобы смонтировать образ.
• В разделе «Этот компьютер» подтвердите букву диска для монтирования в панели слева.

Removing permissions

icacls RnDdir3 /inheritance:d /t /c
icacls RnDdir3 /remove:g Everyone /t /c

• In the first command, the /inheritance:d parameter disables the inheritance on the directory and copies the ACEs. To directly disable the inheritance without copying the ACEs, and then remove the inherited ACEs, you could use /inheritance:r; however, this operation is a bit risky. You might get yourself locked out, as this could remove your own access. To reenable the inheritance, use the /inheritance:e
• In the second command, the /remove:g parameter removes the grant permissions from the Everyone To remove the deny permissions, use the /remove:d parameter.

Removing an ACE from object ACL using the icacls command

Как работает DNS?

Служба DNS позволяет преобразовывать сложные для запоминания ip адреса в простые и легкие доменные имена, которые намного проще запомнить. Если не вдаваться в подробности, то существует сеть DNS серверов, на которых хранится вся необходимая информация об IP адресах  и соответствующих им доменах. Время от времени они обмениваются между собой информацией, чтобы база данных была полной и актуальной.

Когда компьютеру нужно обратиться к какому-либо сайту по домену, он запрашивает его IP адрес у DNS сервера, а затем сохраняет его в локальном кэше. Но DNS запросы могут отсылаться не только автоматически, их может формировать и отправлять утилита nslookup в Linux или Windows.

Перед тем как мы перейдем дальше, к практике и примерам, давайте рассмотрим синтаксис и опции утилиты. Синтаксис достаточно прост:

Домен – это то доменное имя, для которого необходимо посмотреть информацию, а сервер – необязательный параметр, который указывает, что нужно использовать другой dns сервер. Основные опции nslookup:

• -type – тип информации, которую хотим получить, возможные типы: txt, soa, ptr, ns, mx, mr, minfo, mg, mb, hinfo, gid, cname, a, any;
• -port – другой порт DNS сервера;
• -recurse – использоваться другие DNS серверы, если на этом нет ответа;
• -retry – количество попыток получить нужную информацию;
• -timeout – время между попытками запросов к серверу;
• -fail – пробовать другой сервер имен, если этот вернул ошибку.

Самое интересное, что команду можно выполнять не только в обычном, но и в интерактивном режиме, если запустить ее без параметров. А теперь перейдем ближе к самим примерам как работает команда nslookup linux.

Managing Windows integrity control

As promised earlier, it’s now time to learn how to manage MAC or IL using the icacls command. While there are six ILs in Windows, the primary limitation of icacls is that it only allows you to work with the low, medium, and high ILs. It doesn’t allow the use of the restricted, system, and trusted installer ILs.

where RnD is the name of the directory.

Viewing the IL for a directory using the icacls command

In the output of the above command, the Low Mandatory Level indicates the low IL and (NW) indicates the no write up integrity policy, which is used to restrict write access on an object coming from a lower IL process. Let’s understand this with the help of an example:

Now, in the elevated command prompt, I will create a directory testDir and then use the icacls command to set a high IL on it:

icacls testDir /setintegritylevel h

Setting a system IL using icacls—The parameter is incorrect

You get this error since the icacls command doesn’t allow you to work with the system, untrusted, or trusted installer ILs.

Set an object with a High integrity level using icacls command

Here, you can see the high mandatory level assigned to testDir.

Understanding how ILs help protect objects overriding the DACL

Protecting a directory with system integrity level and policies using chml tool

The chml tool supports an -fs (force system) switch, but it sometimes does not work as expected in the modern versions of Windows. By the way, if you are stuck in a similar situation where you cannot open or delete a directory, you can use psexec with the -s switch, as described in the How to use PsExec guide, to launch cmd with system account privileges and then use chml to set a lower IL on that directory. In this way, you will be able to delete that directory successfully.

That is all for this guide. I know I haven’t covered everything related to the icacls utility in this guide, but it surely can help you get started. If you’re stuck somewhere, don’t forget to take a look at the help section of the command.

Denying permissions

Explicitly denying permissions to a particular group using the icacls command

Notice the use of the /remove:d parameter in this command. It will not work if you use the /remove:g parameter since we are removing the deny permission here. To remove a grant permission, use the /remove:g parameter.

Removing the implicit deny ACE from an ACL using the icacls command

Determining user rights

icacls d: /findsid John /t

Setting permissions

icacls RnD /grant everyone:R /t /c

Grant read permission recursively on a directory using the icacls command

• /grant parameter—Adds a new ACE in the ACL, granting read access to the special identity Everyone. You can also combine multiple rights. For example, to grant read and write permission, use Everyone:RW.
• /t parameter—Specifies a recursive operation, which means the permissions will be updated on all the files and subdirectories in the specified directory (RnD, in our case).
• /c parameter—Specifies a continued operation despite any errors. This option is particularly useful during bulk permission changes using a script when you don’t want your script to stop executing even if there are errors.
• /q parameter—Suppress success messages. By default, the command displays all the success messages for each operation.

icacls RnD /grant *S-1-1-0:R /t /c

The SID should be prefixed with an asterisk (*); S-1-1-0 is the well-known SID for the Everyone identity. To know the well-known SIDs for all special identities, see this article.

Now that we’ve run the above command, let’s take a look at the ACL of the RnD directory.

icacls RnD /t

where the /t parameter is used to recursively list the ACLs of all the child objects.

Display the ACLs of a directory object recursively using the icacls command

The Everyone identity is now added to every file and subdirectory inside the RnD parent directory because of the /t parameter.

Getting help

First, let’s take a look at the Help section. To view the help, just run the icacls command without any parameters, as shown below:

Displaying the help for the icacls command

The help section displays all the parameters supported by the icacls command along with a few examples. I will try to cover as much as possible with the help of examples.

Устранение проблем с DISM с помощью образа install. wim

Команда DISM обычно выполняется без проблем, но если есть проблемы с заменой повреждённых файлов или вы не подключены к интернету, вам нужно будет предоставить другой образ с помощью параметра «Источник». Обычно вы можете использовать файл install.wim или install.esd с другого компьютера, загрузочный установочный носитель или ISO-файл Windows 10. Однако убедитесь, что файлы соответствуют версии, редакции и языку версии Windows 10, которую вы пытаетесь исправить.

Как пользоваться nslookup?

Сначала посмотрим ip адрес для losst.pro. Для этого не нужно передавать никаких дополнительных параметров, только само доменное имя:

В выводе утилиты мы можем видеть ip адрес 192.168.137.1, это не адрес сервера, а наш, системный DNS сервер. В следующей строке выводится тот же ip адрес и порт, это адрес DNS сервера вместе с портом. По умолчанию порт – 53. И только после этого находится информация про запрашиваемый сайт. Наш ip адрес 194.67.215.125, это означает, что все пакеты, которые вы будете отправлять на losst.pro будут приходить на этот адрес.

Иногда вы можете получить в ответе утилиты сообщение “Non-authoritative answer”. Ответ считается авторитетным, только если наш DNS сервер имеет полную информацию о зоне, для рассматриваемой области. Чаще всего, у нашего сервера будет не вся информация, а кэш последнего ответа от авторитетного сервера. Такая информация считается не авторитетной, хотя она была получена из авторитетного источника, но сам DNS сервер таковым не считается.

nslookup -type-ns losst.pro

Команда выведет список используемых серверов имен, например, у нас это ns1.nameself.com. Обычно это от двух до четырех серверов. Если есть авторитетный источник для получения информации, то он указывается в нижней части вывода. Например, если мы запросим информацию у сервера имен ns1.nameself.com, то это уже будет авторитетный ответ:

nslookup losst.pro ns1.nameself.com

Еще вы можете получить MX запись для домена, для этого нужно установить тип запроса в mx:

nslookup -type=mx linux.com

Здесь будут отображены все настроенные почтовые серверы, у каждого сервера есть свой приоритет, например, 10, 15 или 5. Чем меньше число, тем выше приоритет адреса.

SOA или Start Of Authority предоставляет техническую информацию о домене, для получения этого поля используйте тип запроса soa:

Здесь будет выведена такая информация:

• origin – происхождение полученной информации;
• mail addr – адрес электронной почты администратора домена;
• serial – время с момента последнего обнволения домена в формате timestamp;
• refresh – количество секунд, с момента последнего обновления, когда его нужно повторить;
• retry – количество секунд, через которое нужно повторить попытку подключения, если DNS сервер недоступен;
• expire – количество секунд, по истечении которых полученная от первичного DNS информация будет считаться устаревшей;
• minimum – минимальное количество секунд до следующего обновления.

Также возможно использование nslookup для просмотра всех доступных записей DNS:

Для просмотра более подробной информации про выполнение запроса вы можете использовать опцию -debug:

nslookup -type=any -debug linux.com

Здесь отображается сообщение, отправленное на сервер и полученный от него ответ. Если ip адресов несколько, то система может отобразить ttl для каждого из них. Некоторые крупные сайты размещены на нескольких серверах, это сделано для противостояния DDoS атакам.

Команда nslookup linux может использоваться и в интерактивном режиме, для этого нужно выполнить ее без параметров:

Дальше просто наберите имя домена, чтобы узнать его IP:

С помощью команды set вы можете задавать различные параметры, например, порт, или тип запроса:

set port=53
set type=mx

Чтобы завершить работу с утилитой, используйте команду exit.

Inheriting permissions

With the previous command, we assigned the special identity Everyone a Read permission recursively to all the child objects in our RnD directory. If we take a closer look at the ACL of the dir1 subdirectory, which is inside the RnD directory, we can see that the ACL shows Everyone with just an (R), indicating the expected read permission. But if we create a new subdirectory, dir2, and then view its ACL, we can see that there is no ACE for the Everyone identity.

Understanding the OI permission

icacls RnD /grant:r Everyone:(OI)(CI)W /t

The /grant:r parameter causes the Read only permission for Everyone in the existing ACE to be replaced with Write. If you do not add :r with the /grant parameter, a new ACE will be added instead of replacing the existing one. Now let’s create another subdirectory, dir3, inside the RnD parent directory and view its ACL.

Setting inheritable permissions on a directory using the icacls command

Notice that the new directory, dir3, inherited the ACE from the RnD parent directory. This is how inheritance works.

Как использовать DISM для восстановления образа Windows 10

Инструмент DISM для Windows 10 предлагает три варианта восстановления образа, включая «CheckHealth», «ScanHealth» и «RestoreHealth», которые вы можете запускать по порядку. В зависимости от серьёзности проблемы можно использовать параметр «RestoreHealth» для исправления локально доступного образа с использованием различных исходных файлов.

Resetting the ACL

icacls RnD /reset /t /c

Resetting permissions using the icacls command

The /reset parameter is equivalent to the Replace all child permission entries with inheritable permission from this object option in the GUI.

Параметры

Обязательный параметр. Вывод избирательных таблиц управления доступом (DACL) указанных
файлов.

Изменение избирательных таблиц контроля доступа (DACL) указанных файлов в текущем каталоге
и всех подкаталогах.

Редактирование избирательной таблицы управления доступом (DACL) вместо ее замены.

Продолжение внесения изменений в избирательные таблицы управления доступом (DACL) с
игнорированием ошибок.

Предоставление прав доступа указанному пользователю. В следующей таблице перечислены
допустимые значения параметра разрешение.

Отмена прав доступа для указанного пользователя.

Смена прав доступа для указанного пользователя. В следующей таблице перечислены допустимые
значения параметра разрешение.

Запрещение доступа для указанного пользователя.

Отображение справки в командной строке.

• Untrusted—The lowest level of trustworthiness. The processes that are anonymously logged on are automatically allocated an untrusted IL by Windows.
• Low—The processes that directly interact with the Internet are allocated a low IL by default. Such processes have very limited access to files and directories.
• System—The system IL is allocated to the core operating system processes and services.
• Trusted installer—The trusted installer IL denotes the highest level of trustworthiness.

In a nutshell, you could say that MIC and IL are more restrictive defense mechanisms used by Windows that override the NTFS permissions (DACL) and evaluate the object’s access before the DACL does. Therefore, a process with a lower IL cannot write to an object with a higher IL, even if there are full NTFS permissions on that object. Windows uses the concept of ILs to protect the core files and processes, so even if you’ve got full control on a core system file, you will still get an Access is denied error when you delete that file.

Displaying the IL of processes using Process Explorer

The icacls command is primarily used to manage DACLs in Windows, but it can also be used to manage ILs with certain limitations.

The terms MAC, WIC, WIL, IL, MIL, etc., used throughout this guide, essentially mean the same thing. Later in this guide, we will see how to use icacls to view and modify the ILs. Now let’s get started.

Устранение проблем с DISM с помощью образа ESD

Чтобы использовать DISM с файлом образа «install.esd» в качестве источника для восстановления Windows 10, выполните следующие действия:

• Откройте меню «Пуск».
• Введите в поиск cmd, нажмите правой кнопкой мыши на верхний результат и выберите параметр «Запуск от имени администратора».
• Введите следующую команду, чтобы восстановить образ с помощью файла «install.esd», и нажмите ввод:DISM /Online /Cleanup-Image /RestoreHealth /Source:C:ESDWindowssourcesinstall.esdВ команде замените C:ESDWindowssources на путь, соответствующий расположению файла «.esd» (если есть).
• Необязательно. Введите следующую команду, чтобы ограничить использование центра обновления Windows, и нажмите ввод:DISM /Online /Cleanup-Image /RestoreHealth /Source:C:ESDWindowssourcesinstall.esd /LimitAccess
• Необязательно. Введите следующий вариант предыдущей команды для выполнения той же задачи и нажмите ввод:DISM /Online /Cleanup-Image /RestoreHealth /Source:esd:C:ESDWindowssourcesinstall.esd:1 /LimitAccess
• Необязательно. Введите следующую команду, чтобы использовать файл install.esd, расположенный на другом диске, и нажмите ввод:DISM /Online /Cleanup-Image /RestoreHealth /Source:E:Sourcesinstall.esdВ команде замените F:Sources на путь к расположению файла «install.esd».

После выполнения этих действует DISM восстановит повреждённые файлы, используя файлы, включенные в образ «install.esd».

Setting ownership

icacls RnD /setowner DomainSurender /t /c /q

Set ownership using the icacls command

• /t switch—Perform the set ownership operation recursively.
• /c switch—Indicates a continued operation, even if errors occur.
• /q switch—Perform the operation quietly and suppress the success messages.

Unfortunately, the icacls command does not offer any way to view the owner of an object, but you can use the dir /q command as shown in the screenshot below.

Viewing directory ownership using the command prompt

You can see that the owner is now recursively changed on the RnD directory and all its child objects.

Заметки

• Для расшифровки полученных результатов воспользуйтесь следующей таблицей.
• Для задания нескольких файлов можно использовать подстановочные знаки (* и ?).
• Имеется возможность указать несколько пользователей.

Команда DISM с опцией RestoreHealth

Если есть проблемы с образом системы, вы можете использовать DISM с опцией RestoreHealth для автоматического сканирования и устранения распространённых проблем.

Чтобы устранить проблемы с образами Windows 10 с помощью инструмента DISM, выполните следующие действия:

• Откройте меню «Пуск».
• Введите в поиск cmd, нажмите правой кнопкой мыши на верхний результат и выберите параметр «Запуск от имени администратора».
• Введите следующую команду, чтобы восстановить образ Windows 10, и нажмите ввод:DISM /Online /Cleanup-Image /RestoreHealthПримечание: если команда в какой-то момент зависла, это нормально. Через несколько минут процесс успешно завершится.

После выполнения этих шагов средство обслуживания образов развёртывания и управления ими подключится к центру обновления Windows для загрузки и замены повреждённых файлов (если они есть).

Permission inheritance

• Inherit (I)—The ACE is inherited from the parent directory.
• Object Inherit (OI)—The objects in the current directory inherit the specified ACE; applicable only to directories.
• Container Inherit (CI)—The subdirectories in the current parent directory inherit the specified ACE; applicable only to directories.
• Inherit Only (IO)—The ACE is inherited from the parent directory but does not apply to the object itself; applicable to directories only.
• Not Propagate (NP)—The ACE is inherited by directories and objects from the parent directory but does not propagate to nested subdirectories; applicable to directories only.

Выводы

В этой статье мы рассмотрели как пользоваться nslookup, утилитой для просмотра DNS записей для домена. Она может быть очень полезной для веб-мастеров и системных администраторов, поскольку очень просто предоставляет всю необходимую информацию. Если у вас остались вопросы, спрашивайте в комментариях!

Похожее:

1. Измененная версия Скачать Все официальные темы Windows с сайта Microsoft 28.11.2019 How To Set NSLookup to Use TCP Как получить ip по dns