Мені потрібно створити групу безпеки, яка надаватиме дозвіл NTFS на локальних комп'ютерах. Як я можу створити групу безпеки, яка надаватиме повний контроль локальним папкам (наприклад, C:\Program Files\Common Files\та %systemroot%\Temp)? Чи доведеться мені перейти до кожного комп’ютера та змінити елементи контролю доступу для кожної папки?
Відповіді:
Жоден обліковий запис або група користувачів не має повного доступу до всього. Вам потрібно змінити дозволи всіх файлів і папок, щоб додати повний доступ до цієї нової групи. Небезпека! Усунення стандартних дозволів - це чудовий спосіб викликати складні системні проблеми; ти не повинен цього робити.
Якщо ви намагаєтесь створити резервну копію та відновити файли, вам слід скористатися фактичною програмою резервного копіювання. Програми, що працюють як адміністратор (або як користувачі, яким було надано відповідні повноваження), можуть вмикати SeBackupPrivilege, що є режимом виконання, який дозволяє успішно читати незалежно від ACL, і SeRestorePrivilegeякий дозволяє писати в будь-якому місці. Детальніше про привілеї читайте на TechNet.
Якщо є лише кілька місць, до яких ви хочете потрапити, і які дозволяють лише отримати доступ SYSTEM, ви можете мати адміністраторів використовувати PsExec для запуску програми як SYSTEM. Наприклад, це створює командний рядок, що працює як SYSTEM:
psexec -s -i cmd.exe
../Common Files- це величезна помилка. Яку проблему ви намагаєтеся вирішити, роблячи це. Існує причина, що тип дозволу не надається користувачам групи користувачів адміністратора за замовчуванням. Крім того, всі користувачі повинні вже мати повний контроль над../Temp.