Кожен раз, коли ми перевстановлюємо Windows, він створюватиме новий SID для користувача, навіть ім’я користувача таке ж, як і раніше.
// example (not real SID format, just show the problem)
user SID
--------------------
liuyan S-old-501 // old SID before reinstall
liuyan S-new-501 // new SID after reinstall
Роздратованою проблемою після перевстановлення є володіння файлом NTFS, а дозволи на жорсткому диску все ще пов’язані з SID старого користувача.
Я хочу зберегти налаштування права власності та дозволу на файли NTFS, а потім дозволити новому користувачеві взяти SID старого користувача, щоб я міг отримати доступ до файлів, як раніше, без проблеми з дозволом.
Інструмент caclsкомандного рядка не може бути використаний у такій ситуації, оскільки файл належить новому користувачеві, тому він не зможе, якщо Access відхиляється помилкою. і він не може змінити право власності.
Навіть якщо я можу змінити право власності за допомогою SubInACLінструменту, я caclsне можу видалити дозвіл старого користувача, оскільки старий користувач не існує при новій установці, і не можу скопіювати дозвіл старого користувача на нового користувача.
Тож чи можемо ми просто прив’язати SID старого користувача до нового користувача у щойно встановленій Windows?
Зразок випробувальної партії
@echo off
REM Additional tools used in this script
REM PsGetSid http://technet.microsoft.com/en-us/sysinternals/bb897417
REM SubInACL http://www.microsoft.com/en-us/download/details.aspx?id=23510
REM
REM make sure these tools are added into PATH
set account=MyUserAccount
set password=long-password
set dir=test
set file=test.txt
echo Creating user [%account%] with password [%password%]...
pause
net user %account% %password% /add
psgetsid %account%
echo Done !
echo Making directory [%dir%] ...
pause
mkdir %dir%
dir %dir%* /q
echo Done !
echo Changing permissions of directory [%dir%]: only [%account%] and [%UserDomain%\%UserName%] has full access permission...
pause
cacls %dir% /G %account%:F
cacls %dir% /E /G %UserDomain%\%UserName%:F
dir %dir%* /q
cacls %dir%
echo Done !
echo Changing ownership of directory [%dir%] to [%account%]...
pause
subinacl /file %dir% /setowner=%account%
dir %dir%* /q
echo Done !
echo RunAs [%account%] user to write a file [%file%] in directory [%dir%]...
pause
runas /noprofile /env /user:%account% "cmd /k echo some text %DATE% %TIME% > %dir%\%file%"
dir %dir% /q
echo Done !
echo Deleting and Recreating user [%account%] (reinstall simulation) ...
pause
net user %account% /delete
net user %account% %password% /add
psgetsid %account%
echo Done ! %account% is recreated, it has a new SID now
echo Now, use this "same" account [%account%] to access [%dir%], it will failed with "Access is denied"
pause
runas /noprofile /env /user:%account% "cmd /k cacls %dir%"
REM runas /noprofile /env /user:%account% "cmd /k type %dir%\%file%"
echo Done !
echo Changing ownership of directory [%dir%] to NEW [%account%]...
pause
subinacl /file %dir% /setowner=%account%
dir %dir%* /q
cacls %dir%
echo Done ! As you can see, "Account Domain not found" is actually the OLD [%account%] user
echo Deleting user [%account%] ...
pause
net user %account% /delete
echo Done !
echo Deleting directory [%dir%]...
pause
rmdir %dir% /s /q
echo Done !