Comment donner aux administrateurs l'accès à un dossier sans détruire les autorisations actuelles?

12

J'ai un dossier auquel je ne peux pas accéder à partir d'un compte qui fait partie du groupe Administrateurs sous Windows 7.

Si j'affiche l'onglet Sécurité dans les propriétés, je vois "Vous n'avez pas l'autorisation d'afficher ou de modifier les paramètres d'autorisation de cet objet".

Si je clique sur Avancé et accède à l'onglet Propriétaire, il m'indique qu'il est "Impossible d'afficher le propriétaire actuel".

Je peux accéder au dossier en réaffectant la propriété, mais cela détruit les autorisations actuelles sur le dossier.

Donc, existe-t-il un moyen de donner aux administrateurs un accès au dossier sans prendre le contrôle et détruire les autorisations actuelles.

windows permissions Nigel Hawkins
la source
Prendre possession ne détruit pas (ou du moins ne devrait pas) les autorisations actuelles sur le dossier. (Je viens de l'essayer et cela a fonctionné comme prévu - les autorisations n'ont pas été modifiées.) Pour être sûr, vous préférerez peut-être utiliser l'outil de ligne de commande, takeown, au lieu des outils GUI. Cet outil ne changera certainement pas les autorisations.
Harry Johnston
Eh bien, après avoir pris possession, je ne vois aucune autorisation sauf pour le compte qui vient de prendre possession. D'autres dossiers semblent se comporter correctement. Je suppose qu'il est possible que le dossier ait été créé sans aucune autorisation pour quiconque ou qu'il les ait tous supprimés, mais cela semble étrange.
Nigel Hawkins,
Le processus de prise de possession n'aurait pas dû changer les autorisations, pas même en ajoutant votre compte. Avez-vous utilisé l'outil de ligne de commande de retrait ou la boîte de dialogue Paramètres de sécurité avancés de l'Explorateur?
Harry Johnston
J'ai essayé dans les deux sens. Comme je l'ai dit, d'autres dossiers semblent se comporter correctement lorsque le propriétaire est changé. J'en suis venu à la conclusion qu'il ne devait avoir aucune autorisation pour quiconque de commencer. Il semblait donc avoir supprimé toutes les anciennes autorisations lorsque j'en ai pris possession.
Nigel Hawkins,

Réponses:

12

Quelques recherches approfondies révèlent que l'appropriation détruit parfois les autorisations existantes et parfois non. Tout semble dépendre si vous essayez de le faire récursivement . Notez que Windows vous avertit quand il va remplacer les autorisations existantes, mais (dans l'interface graphique au moins), il est très facile de simplement OK le message sans le lire ou le comprendre complètement.

Pour le voir, vous aurez besoin d'un répertoire (c: \ SomeFolder dans cet exemple) qui appartient à un autre compte d'utilisateur et auquel vous et le groupe d'administrateurs n'avez aucun accès.

Ligne de commande

Utilisation de l'outil de "commande de retrait" en ligne de commande:

TAKEOWN / A / R / F c: \ SomeFolder

vous devriez voir quelque chose comme

RÉUSSITE: le fichier (ou dossier) "c: \ SomeFolder" appartient désormais au groupe des administrateurs.

Vous n'êtes pas autorisé à lire le contenu du répertoire "c: \ SomeFolder"

Voulez-vous remplacer les autorisations de répertoire par des autorisations vous accordant un contrôle total ("Y" pour OUI, "N" pour NON, "C" pour ANNULER)?

Notez que si vous répondez oui ici, cela signifie vraiment remplacer les autorisations. Toutes les autorisations existantes seront détruites. Si vous répondez non, vous n'avez toujours aucune autorisation sur le dossier, mais vous en êtes maintenant le propriétaire, vous pouvez donc vous accorder des autorisations normalement et sans détruire celles qui existent déjà.

Si vous ne spécifiez pas l'indicateur récursif (/ R), vous ne recevez pas l'avertissement et le propriétaire est modifié sans affecter les autres autorisations.

GUI

Vous devrez utiliser l'onglet "sécurité" de la fenêtre des propriétés pour modifier quoi que ce soit via l'interface graphique. Cela vous donne deux boutons: "continuer" et "avancé". Avancé vous donne une fenêtre avec les quatre onglets: "autorisations", "audit", "propriétaire" et "autorisations effectives". Continuer vous donne juste l'onglet "propriétaire".

Si vous sélectionnez un nouveau propriétaire et cochez la case "appliquer aux sous-dossiers", le fait d'appuyer sur OK ou d'appliquer vous donne une boîte de message "Voulez-vous remplacer les autorisations" qui, encore une fois, signifie vraiment remplacer les autorisations. Si vous ne cochez pas la case des sous-dossiers, vous ne recevez pas l'avertissement et tout se comporte comme prévu.

Il est très facile de ne pas lire entièrement cette boîte de message, supposons qu'il ne s'agit que d'une autre boîte vous demandant de confirmer quelque chose de non destructif et appuyez simplement sur Entrée pour OK. Il est également très facile de supposer qu'ils ne pouvaient pas vraiment signifier remplacer parce que personne sain d'esprit ne voudrait jamais faire cela.

Nigel Hawkins
la source
3

Si vous n'êtes pas répertorié comme "peut lire / modifier les autorisations" dans la liste de contrôle d'accès du dossier, vous ne pouvez pas les modifier, peu importe qui vous êtes. Tous les utilisateurs, administrateurs, Builtins, même nt authority\system, sont traités de manière égale par le code de sécurité. (Le privilège "Prendre possession" à l'échelle du système est une exception, mais il ne peut pas non plus modifier la liste de contrôle d'accès, mais uniquement la réinitialiser.)

Vous devez vous connecter comme quelqu'un qui est autorisé à le faire, soit directement (nom d' utilisateur + mot de passe) ou - si vous avez beaucoup de temps libre - en faisant quelques secreatetokenprivilege magie .

user1686
la source
Puis-je ajouter cette autorisation au groupe d'administrateurs?
Nigel Hawkins
2
Ce n'est pas vrai. Le propriétaire d'un fichier peut toujours lire et modifier les autorisations, et l'appropriation ne change pas les autorisations elles-mêmes.
Harry Johnston
1
Notez également qu'un programme exécuté en tant qu'administrateur peut lire les autorisations et la propriété de n'importe quel fichier en utilisant le privilège de sauvegarde. MS n'a tout simplement pas fourni de programmes pour ce faire. :-(
Harry Johnston
1
Oh, et vous pouvez également utiliser le privilège de restauration pour modifier les autorisations et la propriété.
Harry Johnston
1
@grawity: Je viens de répéter l'expérience (en utilisant une ACL qui ne m'a pas accordé la permission) et l'ACL n'a pas été réinitialisée lorsque j'ai pris possession. Êtes-vous sûr de ne pas penser à la boîte de dialogue "Cliquez sur Continuer pour accéder en permanence à ce dossier" de l'Explorateur, par opposition à la boîte de dialogue Propriétaire de l'onglet Sécurité?
Harry Johnston
0

Vous pouvez utiliser la case à cocher "Remplacer le propriétaire sur les sous-conteneurs et les objets" surlignée en vert. Il n'est pas OK de poursuivre la case à cocher "Remplacer toutes les entrées d'autorisations d'objet enfant" surlignée en rouge. Ce dernier remplacera les listes de contrôle d'accès existantes (autorisations) plutôt que de simplement changer le propriétaire. Boîte de dialogue de sécurité NTFS

Iconiu
la source
Je suppose qu'il s'agit d'une boîte de dialogue Windows 10? La version Windows 7 n'a pas cette case à cocher.
Nigel Hawkins