Kako uporabljati icacls in takeown za odpravljanje težav z dovoljenji v sistemu Windows

Mnogi uporabniki sistema Windows so se že kdaj srečali strašno sporočilo o zavrnitvi dostopa, ko poskušate odpreti, spremeniti ali izbrisati datoteke in mape v svojih sistemih. Težave z dovoljenji lahko postanejo pravi glavobol, še posebej, če vplivajo na mape s tisoči datotek, zunanje pogone ali po ponovnih namestitvah in spremembah lastništva. Na srečo orodja, kot sta icacls in takeown, ponujajo zmogljive rešitve za ponovno pridobitev nadzora brez uporabe programov drugih ponudnikov in s čimer se izognete nepotrebnim ponovnim namestitvam.

Ta članek celovito in praktično obravnava, kako uporabiti te ukaze za popravljanje dovoljenj za datoteke in lastništva v vseh vrstah scenarijev. Vključujemo opozorila, podrobne primere, priporočene kombinacije in razlike v vedenju med različicami sistema Windows, vse jasno razloženo, da lahko takšno težavo rešite sami.

Zakaj dovoljenja v sistemu Windows ne uspejo?

V sistemih Windows, Varnost temelji na dovoljenjih in lastništvu nad datotekami in mapami. Če zaradi nenamernih sprememb, kopiranja datotek med uporabniki ali zaklepanja po uporabi šifriranja, kot je Bitlocker, nekateri vaši podatki ostanejo nedostopni, se bodo pri poskusu dostopa do njih prikazala sporočila o napakah, tudi kot skrbnik.

Te težave običajno povzroči, da trenutni uporabnik ni lastnik datotek. ali dovoljenja NTFS (tipičen varni datotečni sistem Windows) so postali napačno poravnani ali pa imajo poškodovane vnose.

Orodja za popravilo dovoljenj: glavni ukazi

Windows vključuje dva glavna pripomočka za reševanje teh scenarijev:

• takeown: Omogoča vam, da lastništvo datotek in map spremenite na trenutnega uporabnika ali skupino skrbnikov, kar je predpogoj za spreminjanje dovoljenj (še posebej, če do mape ne morete dostopati niti kot skrbnik). Več o tem si lahko preberete na Ta priročnik o upravljanju dovoljenj NTFS.
• icaclsTo je najnaprednejši in najprilagodljivejši ukaz za ponastavitev, spreminjanje, izvoz in uvoz dovoljenj NTFS za datoteke in mape. Zaženete ga lahko množično in rekurzivno.

Opozorila pred spreminjanjem dovoljenj

Preden začnete spreminjati lastništvo datotek ali dovoljenja, morate biti zelo jasni glede tega, kaj spreminjate. Teh ukazov nikoli ne uporabljajte za mape ali datoteke operacijskega sistema (na primer za mapo Windows ali Program Files), saj lahko s tem postane vaš sistem neuporaben ali pa povzročite resne ranljivosti.

Kadar koli je mogoče, varnostno kopirajte tudi najpomembnejše datoteke, in če imate opravka s strežniki ali skupnimi pogoni, razmislite o izvozu obstoječih ACL-jev (seznamov za nadzor dostopa) z uporabo icacls, da jih boste lahko pozneje obnovili v primeru težav.

Kako prevzeti lastništvo datotek in map s Takeown

Prvi korak v primeru napake pri dostopu je običajno dodeli lastništvo prizadetega vira. To dosežemo z ukazom takeown, ki ga je treba vedno zagnati v oknu ukaznega poziva, odprtem kot skrbnik.

Osnovna sintaksa je:

prevzamem /f "pot_mape_ali_datoteke" /r /d S

To prisili uporabnika, da prevzame lastništvo dane mape, in to stori z možnostmi /r /dS. rekurzivno (vključno s podmapami in datotekami) in izbriše zapise (commit).

Na primer za mapo z imenom »locked_folder« v korenu pogona C:

prevzame /f "C:\zaklenjena_mapa" /r /d S

Če želite, da je lastnost dodeljena skupini Administrators namesto trenutnemu uporabniku, uporabite parameter /a:

prevzem /a /r /d S /f D:\SYSDMIT

Ne pozabite, da če je vaš sistem v angleščini, bo možnost potrditve '/d Y'.

Obnovite in spremenite dovoljenja NTFS z icacls

Ko je lastnik mape pravi uporabnik ali skupina, lahko ponastavite ali dodelite pravilna dovoljenja Uporaba ukaza icacls. Ta ukaz je izjemno zmogljiv in ponuja številne možnosti za spreminjanje pravic dostopa, pregled, izvoz ali obnovitev prejšnjih konfiguracij.

Če želite ponastaviti vsa dovoljenja za mapo (in vse v njej) na privzeto stanje, uporabite:

icacls "C:\zaklenjena_mapa" /T /Q /C /RESET

Kje:

• /T izvede spremembo na vseh datotekah in podmapah.
• /Q prepreči sporočila o uspehu.
• /C se ob napakah nadaljuje brez prekinitve.
• /RESET ponastavi sezname za nadzor dostopa (ACL) na podedovane privzete vrednosti.

Ta postopek lahko traja nekaj minut, če je v njem veliko datotek in map. Ne skrbite, če se zdi, da se ukazno okno ne izvaja, saj bo ukaz deloval v ozadju.

Varna obnovitev dovoljenj: najboljše prakse

Priporočljivo je, da ukaze najprej uporabite kot test ali pa začnete z majhnimi mapami, preden delate na celotnih nosilcih podatkov ali zunanjih diskih. Če imate po odstranitvi šifriranja ali kopiranju datotek iz drugega sistema prizadet zunanji trdi disk, lahko nadaljujete na naslednji način:

1. 1. Odprite ukazni poziv kot skrbnik (poiščite »cmd«, kliknite z desno tipko miške, zaženite kot skrbnik).
   2. Prevzame koren prizadetega diska, na primer, če gre za pogon G:

prevzem /f G:\* /r /d S

1. V konzoli spremenite pogon (vtipkajte G: in pritisnite Enter).
2. Ponastavi dovoljenja za vse datoteke in mape:

   icacls * /T /Q /C /PONASTAVI

Ko je ukaz končan, bi morali imeti možnost normalnega dostopa do datotek, njihovega premikanja in brisanja.

Prilagajanje dovoljenj z icacls

icacls omogoča veliko več kot le ponastavitev. Lahko Dodelitev ali zavrnitev določenih dovoljenj uporabnikom ali skupinam, spreminjanje lastnikov, onemogočanje dedovanja dovoljenj in shranjevanje/obnovitev celotnih konfiguracij.

• Dodelite popoln nadzor skrbnikom mape:

  icacls "D:\moja_mapa" /dodeli administratorje:F /T

• Dodelite dovoljenja samo za branje ali izvajanje določenim uporabnikom:

  icacls "D:\moja_mapa" /grant pepito:RX /T

• Odstrani dedovanje in dodeli nova dovoljenja:

  icacls "C:\test" /dedovanje:r /dodelitev:r DOM\Vse:(OI)(CI)(F)

• Oglejte si, katera dovoljenja ima mapa:

  icacls "C:\test"

Argument /podariti dodeliti dovoljenja, /zanikati jih izrecno zavrne, za različne uporabnike ali skupine pa je mogoče združiti več dodelitev.

Na primer, če želite skrbnikom dati popoln nadzor in spreminjati samo enega uporabnika:

icacls "C:\test" /grant:r DOM\Administratorji:(OI)(CI)F /grant:r DOM\pepe:(OI)(CI)M /T

Izvoz in uvoz seznamov za nadzor dostopa (ACL)

Preden se naredijo velike spremembe, je Zelo priporočljivo je, da shranite trenutno stanje dovoljenj.ACL-je mape in njenih podmap lahko izvozite takole:

icacls "C:\test\*" /save "C:\acl-backup\ACL_backup.txt" /T

In kasneje, če se pojavijo kakršne koli težave ali če morate obnoviti prvotne nastavitve dovoljenj:

icacls "C:\test\" /restore "C:\acl-backup\ACL_backup.txt"

To je še posebej uporabno na datotečnih strežnikih, kjer lahko napačno konfigurirana dovoljenja motijo ​​dostop za več deset ali več sto uporabnikov.

Razumevanje dovoljenj in mask NTFS

Pri dodeljevanju dovoljenj z ukazom icacls lahko določite tako preprosta dovoljenja (F, M, RX, R, W, D) kot tudi napredne kombinacije (DE, RC, WDAC, WO, S, AS, MA itd.). Na primer:

• N – Ni dostopa
• F – Popoln nadzor
• M – Spremeni
• RX – Branje in izvajanje
• R – Samo za branje
• W – Samo pisanje
• D – Izbriši

Poleg tega obstajajo možnosti dedovanja, ki določajo, kako se dedovanje uporabi za mape, datoteke ali oboje: (OI) za objekte, (CI) za vsebnike, (IO) samo za dedovanje, (NP) za brez dedovanja itd. Kombiniran primer:

icacls "C:\dokumenti" /grant "users:(OI)(CI)M" /T

Odpravljanje težav z zaklenjenimi sistemskimi datotekami

Včasih težava ni le v dovoljenjih NTFS, temveč v sistemskih datotekah, ki so poškodovane ali zaščitene s sistemom Windows. V teh primerih je priporočljivo, da najprej uporabite pripomoček sfc / scannow:

sfc / scannow

Ta ukaz preveri in poskuša popraviti bistvene datoteke sistema Windows. Če najdete sporočila o datotekah, ki niso bile popravljene, lahko preverite ustvarjeni dnevnik:

findstr /c:"" %windir%\Dnevniki\CBS\CBS.log > "%uporabniški profil%\Namizje\sfcdetails.txt"

Če morate zamenjati poškodovane datoteke, ki jih ni bilo mogoče samodejno popraviti, boste morali prevzeti lastništvo in dodeliti dovoljenja za določeno datoteko z ukazoma takeown in icacls, preden jih lahko zamenjate z zdravimi kopijami iz drugega sistema.

Napredne možnosti: zamenjava, preverjanje in dedovanje SID-a

icacls omogoča napredne funkcije, kot so zamenjava starih SID-ov z novimi (uporabno pri migracijah domen), preverjanje stanja ACL-jev (/preveri), poiščite reference na določene SID-je (/najdi) in nadzor nad dedovanjem (/dedovanje:e|d|r).

Na primer, če želite odstraniti dedovanje in nastaviti, da veljajo samo dovoljenja, ki jih dodelite:

icacls "C:\test" /inheritance:r /grant:r Skrbniki: (OI) (CI)F /T

Praktičen primer: obnovitev dostopa do zunanjega pogona po odstranitvi Bitlockerja

Recimo, da po dešifriranju zunanjega pogona nenehno vidite sporočilo »Trenutno nimate dovoljenja za dostop do te mape«. Rešitev bi bila:

1. open cmd kot skrbnik.
2. Teči prevzem /f X:\* /r /d S (kjer je X črka pogona).
3. V konzoli zamenjajte pogon (vtipkajte X:).
4. Teči icacls * /T /Q /C /PONASTAVI znotraj enote.

Ko končate, boste imeli spet poln dostop in boste lahko predvajali datoteke brez napak.

Kdaj ne smete uporabljati takeown ali icacls

Če težava z dovoljenji vpliva na sistemsko mapo ali datoteke, ki jih ščiti Windows, bodite zelo previdni, saj lahko vsiljenje sprememb pokvari sistem ali ga naredi ranljivega. Na produkcijskih strežnikih vedno predhodno naredite varnostne kopije in, če je mogoče, najprej izvedite spremembe v testnem okolju.

obvladati uporabo takeown e icacls To vam lahko prihrani veliko ur frustracij in ročnega dela, zlasti na nosilcih s tisoči datotek. Vedno ne pozabite, da jih morate uporabljati previdno, popolnoma razumeti strukturo dovoljenj in se izogibati obsežnim spremembam operacijskega sistema, razen če je to nujno potrebno in veste, kaj počnete. Če boste sledili tem korakom in priporočilom, lahko ponovno pridobite nadzor nad zaklenjenimi datotekami in mapami ter optimizirate varnost in funkcionalnost sistema Windows.