- AccessChk vam omogućuje preciznu reviziju efektivnih dozvola za datoteke, registar, usluge i procese.
- Prva dijagnostika pomoću AccessChka sprječava nepotrebne promjene ACL-ova, GPO-ova ili registra.
- Uobičajeni slučajevi: SMB resursi, GPO sigurnosne kopije, EFS, rušenja i oštećenje datotečnog sustava.
- Molimo vas da dopunite podatke o vlasništvu/ACL-u u GUI-ju, CHKDSK-u, ispravne vjerodajnice i, ako je primjenjivo, ponovnu registraciju DLL-a/ActiveX-a.
Kada Windows Daje vam tipično upozorenje Zabranjen pristup Kada dodirnete datoteku, mapu, ključ registra ili uslugu, dolazi do frustracije. Prije nego što počnete onemogućavati takve stvari, dobro je točno dijagnosticirati tko ima dozvole i zašto, a tu AccessChk blista. Sysinternals do učinkovite kontrole pristupa rendgenskim zrakama u sekundama.
U ovom vodiču naći ćete jasno i detaljno objašnjenje kako koristiti AccessChk pregledati dopuštenja, stvarne primjere, interpretaciju rezultata i praktična rješenja za najčešće scenarije: dijeljene resurse, operacije s GPO/MDM-om, zaključane datoteke, razine integriteta, pa čak i slučajeve USB ili vanjskih diskova koje se ne otvaraju. Također su uključene grupne politike, registar i Trikovi komplementarni (svojstvo, EFS, CHKDSK, ponovna registracija DLL/ActiveX) tako da vam nijedan "odbijenik" ne može odoljeti.
Što je AccessChk i zašto vam štedi sate
AccessChk je konzolni alat koji je stvorio Mark Rusinovič koji vam omogućuje da na prvi pogled vidite kakav efektivni pristup račun ili grupa ima resursu: datoteke i mape, ključevi registra, usluge, procesi, objekti u imenskom prostoru Upravitelja objekata, pa čak i zajednički resursiNjegov je izlaz kompaktan i, kada je potrebno, izuzetno detaljan.
Kada pokrenete AccessChk, vidjet ćete oznake poput R (čitanje) i W (pisanje) ili ništa ako nema dozvola. S modifikatorom -v Možete detaljno pregledati određena prava i razine integriteta. To je idealno za potvrdu "zašto ovaj korisnik ne može ovdje pisati?" bez potrebe za otvaranjem tisuću dijaloških okvira u GUI-ju.
Osnovna instalacija i izvedba
AccessChk je prijenosna konzolna binarna datoteka: samo je kopirajte u mapu na računalu. PUT ili idite u njegov direktorij i pokrenite ga. Ako više volite nulu descargas, možete ga pokrenuti iz Sysinternals uživo („Pokreni sada“) izravno preko mreže. Jednostavno napišite accesschk pokazuje pomoć za sintaksu.
Pokrenite konzolu s administratorskim ovlastima prilikom pregledavanja sistemskih putanja, usluga ili zaštićenih ključeva; u suprotnom možda nećete vidjeti stvarna kontrola pristupa ili se pojavljuju potisnute pogreške.
Sintaksa i bitne opcije
Opći način korištenja je fleksibilan: možete odrediti račune ili grupe, vrstu objekta i parametre za filtriranje i detaljno analiziranje. Ovo je osnovni pregled AccessChk (parafrazirano):
accesschk [-s][-e][-u][-r][-w][-n][-v][-f <cuenta>,...] [[-a]|[-k]|[-p [-f] [-t]]|[-h][-o [-t <tipo>]][-c]|[-d]] [[-l [-i]]|[usuario]] <ruta o nombre de objeto>
U nastavku donosimo pregled ključnih modifikatora i njihove primjene kako ne biste propustili ništa važno i mogli pronaći upravo onaj pravi. vrsta objekta što trebaš:
| Parametar | Što čini |
|---|---|
| -a | Ime je pravo na račun Windows. Koristite "*" za popis svih prava dodijeljenih korisniku. Ako navedete određeno pravo, vidjet ćete samo izravne dodjele. |
| -c | Ime je Windows servis (npr. ssdpsrv). Koristite "*" za sve usluge ili "scmanager" za Upravitelja kontrole usluga. |
| -d | Ograničeno na imenik, procesi ili ključevi najviše razine, prema potrebi. |
| -e | Prikaži samo razine integriteta eksplicitno postavljeno (Vista i novije verzije). |
| -f | Nakon -p, izbacuje token procesa s grupe i privilegijeBez opcije -p, filtrira brojače (popis odvojen zarezima) iz izlaza. |
| -h | Ime je zajednički resurs datoteka ili pisača. "*" navodi sve dijeljene. |
| -i | Prilikom ispisa punih ACL-ova s -l, izostavljaju se ACE-ovi naslijeđeno. |
| -k | Ime je Ključ registra (npr. hklm\softver). |
| -l | Pokaži deskriptor sigurnosti dovršeno; dodajte -i za preskakanje naslijeđenih ACE-ova. |
| -n | Vraća samo objekte gdje ih nema Pristup. |
| -o | Ime je objekt od imenski prostor iz Upravitelja objekata (zadano je korijen). Završna kosa crta ili -s prikazuje sadržaj; dodajte -t za filtriranje po vrsti (npr. odjeljak). |
| -p | Ime je proces ili PID ("*" za sve). S -f vidite cijeli token; s -t uključujete niti. |
| -bez banera | Ne pokazuje zastava od početka niti autorska prava. |
| -r | Filtrira objekte s čitanje. |
| -s | To teče na neki način ponavljajući. |
| -t | Filtriraj po vrsta objekta (npr. "odjeljak"). |
| -u | Izbrisati Pogreške na izlasku. |
| -v | Modo detaljan (uključuje razinu integriteta). |
| -w | Filtrira objekte s pisanje. |
Prema zadanim postavkama, AccessChk interpretira ono što prosljeđujete kao put datotečnog sustavaZa imenovane cijevi koristite prefiks \pipe\Ako dodate korisnika ili grupu i putanju, vraća se valjana dozvola za taj račun; ako ne, prikažite pristup za račune u sigurnosnom deskriptoru objekta.
Kako pročitati izlaz i ne izgubiti se
Ako vidiš R, ima čitanja; ako vidite W, postoji pisanje; ako se ništa ne pojavljuje, nema pristupa. Modifikator -v To je zlato: prikazuje vam svako dodijeljeno pravo i razinu integriteta (vrlo korisno u okruženjima s konfiguriranim UAC-om i politikama integriteta).
Kada naznačite -l, dobivate puni sigurnosni deskriptor (DACL/SACL/vlasnik). S -i Možete preskočiti naslijeđene ACE-ove i usredotočiti se na eksplicitne. Ova kombinacija je savršena za otkrivanje tko blokira stvarno pristupiti.
Primjeri upotrebe koji će vas izvući iz problema
Provjerite koja dopuštenja imaju Napredni korisnici en C:\Windows\System32 (prikazuje učinkovite pristupe svakom elementu):
accesschk "power users" c:\windows\system32
Saznajte koji grupni računi korisnici može pisati Windows servisima:
accesschk users -c -w *
Navedite ključeve ispod HKLM\Softver kojem određeni korisnik ne pristupa, rekurzivno prolazeći i bez prikazivanja nasljeđivanja:
accesschk -k -n -s dominio\usuario hklm\software
Pogledajte sigurnost ključa HKLM\Softver s njegovim punim opisom:
accesschk -k -l hklm\software
Pronađite datoteke u C:\Korisnici\Ime koji imaju eksplicitne razine integriteta:
accesschk -e -s c:\users\nombre
Navedite objekte globalnog imenskog prostora koje svatko može Izmijeniti (budite oprezni s ovim prilikom stvrdnjavanja):
accesschk -w -u -o everyone \BaseNamedObjects
Ispravak "Pristup odbijen" u operacijama s datotekama i GPO/MDM-u
Tipičan slučaj: politika od "Operacije s datotekama i mapama" (npr. s Endpoint Centrala ili druge platforme) ne uspije s detaljima "Konfiguracija nije uspjela" i "Pristup odbijen". Prvo upotrijebite AccessChk za izvor i odredište kako biste vidjeli efektivna dopuštenja tekući račun djelovanje na klijentu.
Pregledajte ove uobičajene točke za kvarove izvora: 1) klijent ne može pročitati mrežni resurs iz izvora; 2) radite u Radna grupa ili različite domene i niste definirali vjerodajnice; 3) datoteka je u upotrebi. Ako idete po odredištu: 1) korisnik nema pisanje u putanji; 2) datoteka je zaključana od strane drugog procesa.
Konkretne mjere koje to obično rješavaju: na izvornom udjelu, navedite barem Čitanje u odgovarajuću grupu (u sustavu Windows: Svojstva > Sigurnost). U nepouzdanim okruženjima navedite valjane vjerodajnice prilikom konfiguriranja zadatka sigurnosne kopije (povezivanje resursa s vjerodajnicama), osiguravajući da račun može čitati i/ili pisati po potrebi.
Ako je brisanje neuspješno, ponovno pokrenite klijentsko računalo kako biste oslobodili mjesta; ako se rušenje dogodi čak i pri pokretanju, izbrišite konfliktna ruta iz opcija Start/Servisi pomoću msconfig i pokušajte ponovno. Da biste Windows 11, primjenjuju se isti koraci i AccessChek će vam pomoći da provjerite je li Problematični ACE više nije prisutan.
Dionice malih i srednjih poduzeća i „opasni“ gost
U mješovitim okruženjima možete naići na zaključavanje autentifikacije gosta. Aktivirajte "Omogući nesigurne prijave gostiju"omogućuje prijavu gosta putem SMB-a, ali to je rizičan pristup. Putem pravila: Računalo > Administrativni predlošci > Mreža > Lanman radna stanica > Omogući nesigurne prijave gostiju.
Prema Registru, ekvivalentna prilagodba je HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters s AllowInsecureGuestAuth=1Koristite ovo samo ako razumijete utjecaj; preporučuje se korištenje credenciales i dobro definirane dozvole za resurs.
Preuzmite vlasništvo i prilagodite dozvole iz grafičkog korisničkog sučelja
Ako nakon provjere s AccessChkom potvrdite da vaš korisnik ili grupa nemaju pristup, možete ponovno preuzeti kontrolu. S administratorskim računom idite na Svojstva > Sigurnost > Avanzado i promijenite vlasnika. Zatim dodijelite Punu kontrolu Administratorima (ili ciljnoj skupini) i primijenite je na podmape/objekte ako ste zainteresirani.
Sažetak korak po korak: otvorite kutiju Napredne sigurnosne postavke, pritisnite Promijeni za vlasnika, odaberite korisnika ili grupu (možete Pretraži sada za popis), prihvatite i u Dozvole dodajte unos s potrebnim pravima (čitanje, pisanje, mijenjanje, brisanje, promjena dozvola, preuzeti posjeditd.). Primijenite i potvrdite u Sigurnosti sustava Windows.
Ako vas sprječava u otvaranju EFS enkripcijaU Svojstva > Općenito > Napredno, vidjet ćete označen okvir "Šifriraj sadržaj". U tom slučaju trebat će vam pridruženi certifikat/ključ; bez njega ne postoji legitiman način čitanja sadržaja. Poništite okvir samo ako imate ključ ili se oporavite s kopije koja se može dešifrirati.
„Ne možete pristupiti ovoj mapi“ i druge uobičajene poruke
Najčešći uzroci: promjena vlasništva nakon ažuriranja sustava Windows, naslijeđene dozvole koje vas sada isključuju, datoteke zaštićene EFS-om, oštećeni podaci ili profil oštećeni korisnikAccessChk vam pomaže da razlikujete je li problem s ACL-om ili nešto fizičko/logičko na disku.
Za provjeru dopuštenja: Svojstva > Sigurnost > pregledajte svog korisnika u odjeljku "Imena grupa ili korisnika" i, ako je primjenjivo, kliknite Uredi s administratorskim računom za dodati nedostajuće dozvole. Ako je stablo složeno, koristite -l u AccessChku i pogledajte DACL/SACL kako biste razumjeli što ACE šalje.
Vanjski ili USB pogoni: „Pogon nije dostupan“
Kada pad sustava utječe na USB ili vanjski pogon ("struktura je oštećena", "parametar je netočan"), trag se mijenja: vjerojatno postoji oštećenje datotečnog sustava, loši sektori ili pravila pristupa. Vaš plan trebao bi započeti s zaštititi podatke.
Ako se pismo i dalje pričvršćuje, prvo ga pokušajte oporaviti pomoću alata za oporavak. oporavak podataka Prije nego što išta dirate, mnogi komercijalni paketi imaju podršku za tisuće formata/scenarija i visoku stopu uspjeha. Nakon izdvajanja kritičnih datoteka, pokrenite CHKDSK da biste ih popravili.
Tipični koraci: otvaranje CMD kao administrator i pokretanje chkdsk E: /f /r (zamijenite E s vašim pogonom). Zatim provjerite s AccessChkom ima li vaš račun dopuštenja i, ako je potrebno, promijenite ih svojstvo i odobrava pristup kao i bilo kojoj lokalnoj mapi.
Usluge, procesi i objekti: više od datoteka
Nije sve NTFS. S -c Servise (i Upravitelj kontrole servisa) možete pregledati pomoću "scmanagera"; -p pregledavate procese i, koristeći -f, vidite povlastice i grupe tokena. Za objekte kernela (sekcije, događaje itd.) koristite -o i filtrirajte po vrsti s -t.
Ove provjere su ključne kada pojačavanje prekida funkcije: na primjer, usluga bez dozvole za pokretanje za korisnike ili globalni objekt s otvoreno pisanje koji bi trebao biti zatvoren. AccessChk vam daje točnu fotografiju.
Microsoft Access (VBA), reference i ActiveX: Kada brava nije NTFS
Ponekad "ne radi" dolazi iz ovisnosti koda: biblioteka tipova, DAO/ADO, ActiveX kontrole ili reference na datoteke koje više ne postoje. U Accessu (baza podataka) otvorite VB Editor (Alt+F11) > Alati > Reference i provjerite ima li oznaka "Nedostaje".
Access rješava reference redoslijedom: provjerite je li već učitano, pogledajte RefLibPaths U registru potražite mapu aplikacije (Msaccess.exe), trenutnu mapu, Windows, System i PATH putanje. Ako se ništa ne podudara, vidjet ćete pogreške poput "projekt ili biblioteka nisu pronađeni". "nedefinirana varijabla" ili funkcije koje nestaju.
Tipična rješenja: Prilikom migracije s prethodnih verzija, zamijenite ADO ako nije primjenjivo i dodajte "Microsoft DAO 3.6 biblioteka objekata” kada je to prikladno; uklonite reference na Utility.mda ako su već pokrivene modernim bibliotekama; i prilikom distribucije, zapakirajte licencirane kontrole za vrijeme izvođenja. izvršenje kako bi se izbjeglo „nema potrebnu dozvolu“.
Za poruku „Komponenta ActiveX ne može stvoriti objekt“ provjerite jesu li DLL-ovi ispravno registrirani. Možete se ponovno registrirati s regsvr32.exe Nombre.dll (prvo potražite putanju do regsvr32 i DLL-a), a zatim pokušajte ponovno u Accessu. Ako je slučaj zastrašujući, otvorite Reference, aktivirajte bilo koju biblioteku, prihvatite, ponovno unesite i ugasi to; ovo „osvježenje“ ponekad pročišćava državu.
Mobilni prijenos i izvori podataka
Ako ubacujete mape iz iPhone o iPad, imajte na umu da možete koristiti Dijeljenje datoteka s iTunesa za premještanje stavki u aplikaciju Dokumenti (Lokalne datoteke), a zatim na računalo/Mac ili u oblak. Na starijim modelima ova opcija možda neće biti dostupna.
Nakon što su datoteke na računalu, upotrijebite AccessChk kako biste provjerili efektivna dopuštenja korisnika koji će njima manipulirati i izbjegli iznenađenja. ACL naslijedio te promjene bloka.
Najbolje prakse s AccessChkom
Prilikom korištenja AccessChka na velikim direktorijima, dodaje -s za rekurzivno kretanje i ako tražite probleme, -n navesti samo tamo gdje nema pristupa. Dopuniti s -v za finu dijagnostiku i upotrebu -u ako želite da pogreške ne zagađuju izlaz.
Prilikom analize performansi ili količine podataka filtrirajte račune koji vas ne zanimaju -f (kao popis odvojen zarezima) i, u objektima jezgre, ograničeno tipom s -tSve to smanjuje buku i ubrzava istraživanje.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje pisanjem, a to je ono što ću učiniti na ovom blogu, pokazati vam sve najzanimljivije stvari o gadgetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se snađete u digitalnom svijetu na jednostavan i zabavan način.