Разное - Как вернуть доступ (Access Control List)?

Petya V4sechkin · Конфигурация компьютера

Ivan2021, сначала задайте владельца объекта (опция /setowner).

Iska · Отправлено: **17:55, 07-02-2021** | #3

Цитата Ivan2021:

Логично было бы вернуть права той же командой с ключом /grant=Administrator »

Ivan2021, Вы явно чего-то не понимаете и что-то путаете. Это не логично. Логично — отозвать внесённый запрет на объект (разумеется, будут отозвано всё — и запреты, и разрешения для указанной учётной записи):

Код:

subinacl.exe /file "C:\bla-bla-bla\bla-bla-bla.txt" /revoke=Администратор

пользователем, который имеет на это достаточные привилегии и доступ к объекту или является владельцем объекта.

P.S. Надо стараться по минимуму использовать привязку списков доступа к учётным записям пользователей, а стараться использовать группы безопасности. Добавлять запреты (вместо отзыва разрешений) вообще — только в исключительных случаях.

Ivan2021 · Отправлено: **23:00, 07-02-2021** | #4

Полностью согласен. Я не до конца понимал как оно работает, думал что есть только 2 действия - grant и deny, оказалось что нет. Есть набор привилегий от группы Администраторы, которые применяются по умолчанию.
К ним в случае /deny добавляется запрет определенному администратору, а обратное действие это действительно /revoke.

Однако, проблема не решается. Когда у группы доступ ACCESS_ALLOWED_ACE_TYPE-0x0, а у отдельного пользователя из этой группы ACCESS_DENIED_ACE_TYPE-0x1, он не может ничего сделать с этим объектом. revoke, deny, grant и даже display возвращают 5ю ошибку (отказано в доступе).

Получается, решение задачи из под учетки текущего администратора невозможно?

Iska · Отправлено: **23:05, 07-02-2021** | #5

Цитата Ivan2021:

а обратное действие это действительно /revoke. »

Нет, это не «обратное действие».

Цитата Ivan2021:

Когда у группы доступ ACCESS_ALLOWED_ACE_TYPE-0x0, а у отдельного пользователя из этой группы ACCESS_DENIED_ACE_TYPE-0x1, он не может ничего сделать с этим объектом. revoke, deny, grant и даже display возвращают 5ю ошибку (отказано в доступе). »

Кто владелец объекта (см. сообщение №2)?

Ivan2021 · Отправлено: **00:22, 08-02-2021** | #6

Владелец "NT Authority\система". В англоязычной винде было бы "NT Authority\SYSTEM".

Iska · Отправлено: **06:33, 08-02-2021** | #7

Ivan2021, тогда нужно сначала стать владельцем (см. сообщение №2).

Но, как мне кажется, Вы решаете какую-то другую задачу, в рамках попытки решения которой выбрали не совсем удачный подход. Может быть, озвучите?

Ivan2021 · Отправлено: **14:52, 08-02-2021** | #8

Можно я в ЛС напишу?

Цитата:

Iska превысил(а) максимальный объем сохраненных персональных сообщений

Тут, видимо, без захода из под учетки другого админа ничего не получится. Под системой я заходить не умею, это только сервис писать.