Список содержимого папки доступ


Список содержимого папки доступ

Q: Как сделать недоступными для общего пользования определенные файлы и папки на одном компьютере при условии, что файловая система на диске FAT32.

A: Только по сети. для локальных пользователей это возможно только при файловой системе на диске NTFS. Конвертировать файловую систему диска с FAT32 в NTFS можно с помощью команды

Примечание: Выбор файловой системы лучше производить во время установки системы. Конвертация файловой системы не всегда проходит нормально при наличии данных на конвертируемом разделе.

Q: Как организовать запрет доступа к папкам (файлам) для локальных пользователей на одном компьютере.

Установка, просмотр, изменение и удаление разрешений на доступ к файлам и папкам

Чтобы установить, просмотреть, изменить или удалить разрешения на доступ к файлам и папкам, выполните следующие действия.

Внимание! Если компьютер не входит в состав домена или работает под управлением Windows XP Home Edition, для того чтобы получить доступ к вкладке Безопасность, выполните описанные ниже действия в зависимости от установленной операционной системы.

Windows XP Professional

Загрузите компьютер в безопасном режиме и войдите в систему с учетной записью «Администратор» или учетной записью, обладающей правами администратора. После этого для файлов и папок, находящихся на томах NTFS, будет доступна вкладка Безопасность.

Влияние наследования на разрешения на доступ к файлам и папкам

После установки разрешений для родительской папки создаваемые в ней файлы и папки наследуют эти разрешения. Чтобы отключить наследование разрешений для файлов и папок, необходимо при установке особых разрешений для родительской папки выбрать в окне Применять вариант Только для этой папки. Чтобы отключить наследование разрешений только для некоторых файлов и папок, выполните следующие действия.

Просмотр действующих разрешений на доступ к файлам и папкам

Чтобы просмотреть действующие разрешения на доступ к файлам и папкам, выполните следующие действия.

Например, пользователь пытается получить удаленный доступ к файлу. На вкладке Действующие разрешения отображаются сведения, определяемые на основании имеющихся элементов разрешений. Поэтому эти сведения нельзя изменить. Кроме того, на данной вкладке нельзя изменять разрешения доступа с помощью установки или снятия флажков разрешений.

Управление общими папками с помощью средства «Управление компьютером»

Оснастка «Управление компьютером» предоставляет удобные средства просмотра и управления параметрами безопасности для файлов и папок. Для получения дополнительных сведений о безопасности и разрешениях нажмите кнопку Справка на панели инструментов средства «Управление компьютером».

Чтобы запустить средство «Управление компьютером», выполните следующие действия.

Вы также можете использовать утилиту командной строки CACLS для просмотра и модификации списков управления доступом (ACL) к файлам и папкам, при условии использования файловой системы NTFS. Параметры, которые доступны при использовании Cacls:

Примеры использования Cacls:

cacls “буква_диска:System Volume Information” /E /G имя_пользователя:F

В результате выполнения команды указанному пользователю будет предоставлен полный доступ к папке System Volume Information.

cacls “буква_диска:System Volume Information” /E /R имя_пользователя

В результате выполнения команды полномочия указанного пользователя будут аннулированы.

Q: Как ограничить пользователя определенным перечнем программ разрешенных для запуска.

A: Вариант 1:Войдите в систему с учетной записью пользователя, которому необходимо установить ограничение запуска программ и в реестре в разделе

Имя параметра: 1значение: iexplore.exeИмя параметра: 2значение: Winword.exe

Обратите внимание, что если вы укажете запрет запуска редактора реестра (Regedit.exe), то Вы сами не сможете больше запустить его в этой учетной записи, а следовательно не сможете отменить запрет.

Также можно использовать запрет запуска всех приложений кроме указанных. Сделать это можно в том же разделе реестраHKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerтолько теперь нужно создать параметр RestrictRun и установить его значение 1. Далее, как и в прошлом примере, создаем подраздел с тем же именем (RestrictRun) и в нем перечисляем приложения разрешенные для запуска. Например:

Параметр: 1значение: Regedit.exeПараметр: 2значение: Winword.exe

Обратите внимание, что в данном случае достаточно указать имена исполняемых файлов, а полный путь указывать необязательно. Не забудьте указать файл regedit.exe, иначе вы сами не сможете больше запустить редактор реестра.

За дополнительной информацией обратитесь к статьям Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения и Блокировка приложений с помощью политик ограниченного использования программ.

:/>  WIMGAPI.DLL скачать

Q: Папка была зашифрована средствами Windows, но сертификат не сохранился после переустановки системы. Как получить доступ к зашифрованной папке.

A: Снять с папки шифрование можно только при условии, что компьютер на момент шифрования и после переустановки системы являлся членом домена

Отмена шифрования файла

Данную процедуру могут выполнить только следующие пользователи:

Члены группы “Администраторы” не смогут отменить шифрование файла, за исключением пользователей, включенных в данную группу и указанных в качестве агентов восстановления до отмены шифрования. Примечание. Чтобы выполнить отмену шифрования файла, зарегистрируйтесь в системе под учетной записью пользователя, выполнявшего шифрование файла, или указанного в качестве агента восстановления. Если Вы не имеете полномочий отмены шифрования файла, при выполнении данных действий появится следующее сообщение об ошибке:

Для отмены шифрования файла выполните следующие действия:

Отмена шифрования папки

Вы можете отменить шифрование файлов и папок не являясь агентом шифрования и не владея ключами агента шифрования при помощи программы Advanced EFS Data Recovery.

Q: Как получить доступ к файлу или папке после переустановки системы.

A: Чтобы получить доступ к файлу или папке, не имея на это соответствующих разрешений, необходимо стать владельцем такого файла или папки. Это позволяет компенсировать отсутствие разрешений на доступ.

Как стать владельцем папки

На компьютере под управлением Windows XP Professional необходимо отключить простой общий доступ к файлам. По умолчанию простой общий доступ к файлам используется на всех компьютерах под управлением Windows XP Professional, которые не являются членами домена.

Чтобы стать владельцем папки, выполните следующие действия.

Как стать владельцем файла

Чтобы стать владельцем файла, выполните следующие действия.

Вы также можете использовать возможности команды CACLS, параметры и синтаксис которой описаны в предыдущем вопросе: Как организовать запрет доступа к папкам (файлам) для локальных пользователей на одном компьютере

Q: При подключении к интернет появляется сообщение: “Система завершает работу, отключение вызвано NTAUTHORITY SYSTEM. Перезагрузите Windows, поскольку произошла непредвиденная остановка службы Удалённый вызов процедур” и через минуту компьютер перезагружается.

Если у вас все еще остались вопросы, то прочитайте эту тему на форуме: Oстановка службы RPC, перезагрузка при подключении к Интернету (AUTHORITYSYSTEM), a также lsass.exe. Если после этого все-таки вопросы остались, то задайте их в вышеупомянутой теме.

Q: Как закрыть порты средствами Windows XP.

Q: Появляется окно службы сообщений с рекламным объявлением из Интернета.

A: В качестве временного решения проблемы можно отключить службу сообщений. Для этого выполните следующие действия.1. Нажмите кнопку Пуск и выберите пункт Панель управления (или Настройки, а затем – Панель управления).2. Дважды щелкните значок Администрирование.3. Дважды щелкните значок Службы.4. Дважды щелкните запись Служба сообщений.5. В поле Тип запуска выберите значение Отключено.6. Нажмите кнопку Стоп, а затем – ОК.

Q: Что такое функция DEP и как проверить включена ли она

A: Предотвращение выполнения данных (DEP) — это набор программных и аппаратных технологий, позволяющих выполнять дополнительные проверки содержимого памяти и предотвращать запуск вредоносного программного кода.

Аппаратная функция DEP помечает все области памяти процесса как области, которые не содержат исполняемого кода, если иное не указано явным образом. Существуют атаки, основанные на помещении исполняемого кода в области памяти, не содержащие исполняемого кода, и последующем запуске этого кода. Функция DEP предотвращает подобные атаки, перехватывая их и вызывая исключение.

Чтобы убедиться, что аппаратная функция DEP работает в Windows, воспользуйтесь одним из следующих способов.

Способ 1. Использ средств командной строки Wmic

С помощью средства командной строки Wmic можно проверить параметры DEP. Чтобы определить, доступна ли аппаратная функция DEP, выполните следующие действия:1. В меню Пуск выберите пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК

2. В командной строке введите следующую команду

wmic OS Get DataExecutionPrevention_Available

Если в результате будет получено значение TRUE, аппаратная функция DEP включена.

:/>  Есть ли существенное различие между версиями Windows 7 Ultimate и Professional? Всестороннее изучение их особенностей и критериев оценки

Чтобы определить текущую политику поддержки DEP, выполните следующие действия:1. В меню Пуск выберите пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК

wmic OS Get DataExecutionPrevention_SupportPolicy

В результате выполнения команды будет возвращено значение 0, 1, 2 или 3. Эти значения соответствуют политикам поддержки DEP, описанным в приведенной ниже таблице.

Примечание. Чтобы убедиться в том, что аппаратная функция DEP включена в Windows, проверьте свойство DataExecutionPrevention_Drivers класса Win32_OperatingSystem. В некоторых конфигурациях аппаратную функцию DEP можно отключить с помощью параметра /nopae или /execute в файле Boot.ini. Чтобы проверить это свойство, введите в командной строке

wmic OS Get DataExecutionPrevention_Drivers

Способ 2. Использование графического интерфейса пользователя

Чтобы с помощью графического интерфейса пользователя определить, доступна ли аппаратная функция DEP, выполните следующие действия:

Если это значение TRUE, аппаратная функция DEP включена.

Дополнительная информация

Q: Как запустить программу от имени другого пользователя

A: Для выполнения запуска программы от имени другого пользователя есть несколько способов, рассмотрим их.

Способ 1 – RunAs

Использование команды RUNAS:

Способ 2 – Скрипт AutoIt

Пример скрипта для программы AutoIt, с помощью которого будет произведен запуск редактора реестра (regedit.exe) от имени пользователя Администратор.

Примечание. Подробнее о программе AutoIt и ее использовании вы можете узнать из этой темы нашего форума.

Способ 3 – Сторонние утилиты

Павел Кравченко занимается развитием компьютерного портала OSzone.net, объединяющего сайт, форум и каталог программного обеспечения. Он отвечает на вопросы участников форума OSZone с 2003 года, а на сайте публикует статьи о клиентских операционных системах Microsoft.

С 2006 года Павел ежегодно становится обладателем награды Наиболее ценный специалист Microsoft (MVP), присуждаемой за вклад в развитие технических сообществ.

Встроенные командлеты для управления ACL в NTFS

В PowerShell v5 (Windows 10 / Windows Server 2016) для управления ACL имеется два отдельных встроенных командлета (входят в модуль Microsoft. PowerShell. Security):

Мы не будем подробно останавливаться на этих встроенных командлетах, т.к. их функционал в большинстве случае недостаточен для управления NTFS разрешениями в реальных задачах. Рассмотрим лишь несколько типовых примеров их использования.

Выведем текущего владельца папки (файла) и список назначенных NTFS разрешений:


Список содержимого папки доступ

Path : Microsoft. PowerShell. CoreFileSystem::C:DriversOwner : WORKSTAT1
oot

Как вы видите, текущие разрешения также представлены в виде SDDL строки – мы вкратце рассматривали этот формат описания доступа в статье Управление правами на службы Windows.

Можно вывести только списки NTFS разрешений в более понятном формате:


Список содержимого папки доступ

С помощью следящей команды можно скопировать NTFS разрешения с одной папки и применить их на другую:

Для выполнения этой операции учетная запись должна быть владельцем ресурса (Owner) и обладать правами Take Ownership.

Главная проблема при использовании Set-ACL – командлет всегда пытается сменить владельца ресурса, даже если вы просто хотите изменить NTFS разрешения. В результате, чтобы добавить права на объект нужно использовать такую конструкцию:

Чтобы отключить наследование для папки из PowerShell:

$path = ‘C:dist’$acl = Get-ACL -Path $path$acl. SetAccessRuleProtection($True, $True) # первый $True указывает, является ли данный каталог защищенным, второй $True – нужно ли скопировать текущие NTFS разрешенияSet-Acl -Path $path -AclObject $acl

Добавление каскадного меню с пунктами смены владельца на текущего пользователя и на TrustedInstaller

В прошлых примерах мы использовали подраздел реестра runas, команды по умолчанию из которого запускаются с запросом повышения прав, то есть по сути выполняется запуск от имени администратора. Добавление каскадного меню с несколькими пунктами не дает такого преимущества, но запуск команд от имени администратора необходим для их выполнения.

Есть несколько путей решения этой проблемы, но использование сторонней утилиты для запуска команды с повышением привилегий все-таки является самым быстрым и простым в данном случае.

Таких утилит несколько, каждая из них обладает своими преимуществами, но большинство из них являются проектами энтузиастов и не поддерживаются и не дорабатываются уже довольно долгое время.

Исключение составляют NirCmd от известного разработчика полезных утилит Nir Sofer и PsExec Марка Руссиновича.

:/>  Нтфс или фат 32

Я остановил свой выбор на NirCmd ввиду того, что уже использую эту утилиту для других задач, а PsExec все более узкоспециализированная утилита.

Весь процесс добавления пунктов меню и создания каскадных меню уже был рассмотрен на страницах блога.

Для удаления этого меню используйте файл Remove_Take_Ownership_Restore_Owner.reg

Добавление команды смены владельца объектов на TrustedInstaller в контекстное меню проводника

Для изменения владельца файлов и папок на TrustedInstaller вы также можете добавить контекстное меню проводника. В предлагаемом варианте используется утилита командной строки icacls.

Готовые файлы реестра для добавления и удаления этого пункта меню: RestoreOwnerShip.zip

Обратите внимание, что для реализации любого пункта контекстного меню (для назначения владельцем текущего пользователя и для добавления пункта изменения владельца на TrustedInstaller) используются одинаковые разделы реестра и параметры. В связи с этим добавление обоих пунктов одновременно, в рассматриваемом варианте, невозможно. В следующей главе статьи мы рассмотрим варианты одновременного сосуществования этих двух пунктов контекстного меню.

Проверка эффективных NTFS разрешений на объекты из PowerShell

Вы можете проверить эффективные NTFS разрешения на конкретный файл или папку с помощью командлета
Get-EffectiveAccess
. Допустим вы предоставили доступ на некоторую папку нескольким группам безопасности AD и теперь хотите понять, есть ли у конкретного аккаунта (SID) доступ к данной папке или нет. Как это сделать, не выводя состав групп AD, в которых входит его учетная запись? В этой ситуации как раз поможет функция проверки эффективные NTFS разрешений. Допустим, нужно проверить эффективные права на все вложенные папки в каталоге для пользователя confroom.

Либо вы можете проверить эффективные разрешения на конкретный файл:


Список содержимого папки доступ

Добавление команды смены владельца объекта в контекстное меню проводника

Для упрощения процедуры смены владельца вы можете добавить соответствующий пункт в контекстное меню проводника. В предлагаемом варианте также используются утилиты командной строки takeown и icacls с определенными параметрами, а полученная команда установит текущего пользователя владельцем объекта, на котором будет применяться.

Подробнее о применении твиков реестра вы можете прочитать здесь: Применение твиков реестра

Примечание. Если ранее вами был добавлен другой пункт контекстного меню с использованием такого же метода (запись в раздел реестра , то он будет заменен.

Описание файлов реестра, содержащихся в архиве:

Способ 2. Использование утилит командной строки takeown и icacls

Примечание. Этот способ можно применить только для получения доступа к файлам или папкам, но не к разделам реестра.

Использование утилиты командной строки takeown для изменения владельца объектов

Владельцем многих системных файлов и папок является служба TrustedInstaller. В случае изменения владельца таких файлов или папок, система будет работать нестабильно, а многие задачи обслуживания системы перестанут работать.

В случае если вы изменили владельца системной папки для удаления или записи файлов, или файла для его замены или редактирования, после выполнения необходимых действий требуется назначить владельца по умолчанию, то есть TrustedInstaller.

Использование графического интерфейса Windows

Импортируйте модуль NTFSSecurity в сессию PowerShell:

Выведем список команд, доступных в модуле (доступно 36 командлетов):

Get-Command -Module NTFSSecurity


Список содержимого папки доступ

Как вы видите, текущие разрешения представлены в более удобной форме.


Список содержимого папки доступ

Чтобы предоставить конкретному пользователю и группе группе полные права на папку, выполните команду:
Add-NTFSAccess -Path C:distr -Account ‘WORKSTAT1confroom’,’BUILTINАдминистраторы’ -AccessRights ‘Fullcontrol’ -PassThru

Совет. По умолчанию командлеты модуля NTFSSecurity не возвращают никаких данных, чтобы команда после выполнения выводила новые ACL, используйте параметр PassThru.

Чтобы предоставить права только на верхнем уровне и не изменять разрешения на вложенные объекты (только на папку), используйте команду:

Add-NTFSAccess c:datapublic -Account corpaaivanov -AccessRights Modify -AppliesTo ThisFolderOnly

Удалить назначенные NTFS разрешения:

Remove-NTFSAccess -Path C:distr -Account ‘WORKSTAT1confroom’ -AccessRights FullControl -PassThru