我从Windows Server 2003系统上的驱动器根目录“C:\”的安全选项卡中删除了Administrators组,以防止将完全控制权授予所有pipe理员。
现在,当我在驱动器根目录中创build文件(或设置为inheritance权限的子文件夹)时,文件的安全性列出具有完全控制权限的pipe理员组,声称从驱动器根目录“C:\”inheritance。
文件如何inheritance我从驱动器根目录中删除的pipe理员组权限?
如果您是Administrators组的成员,那么它就是Windows的一个呃function,它将所有者设置为Administrators组而不是您的用户帐户。
我猜你会看到pipe理员的权限,因为你在根ACL中有CREATOR / OWNER。 在这种情况下,创build者/所有者是pipe理员(因为上面的行为),因此pipe理员出现在ACL中。
我不是那种在ACL中包含CREATOR / OWNER的人,因为你可能会遇到这种奇怪的行为。 我总是将根权限设置为pipe理员和系统只有完全控制,然后添加额外的权限,只有当他们需要的子目录。
JR
这可能与作为文件夹所有者的Administrators组以及正在创build的文件具有所有者的访问权限。
有时他们可以被记住,特别是如果有东西有处理它。 在安全选项卡上转到高级,然后selectreplace权限条目的选项,这应该强制它。
你为什么要这样做? 这听起来像你给了一堆用户pipe理员帐户,现在你不希望他们安装软件…只是一个猜测。
还有一个组在C的根目录拥有SPECIAL权限,可以是Authenticated Users或Everyone,具体取决于你所在的操作系统。
你真的需要在这里发布这个命令的输出,以便我们确定发生了什么事情:
icacls c:
要么
cacls c:
输出将有助于确定问题。
问题是为什么pipe理员权限(完全控制)从根目录inheritance时,他们不存在?
编辑:即使我是根文件夹的所有者,当我创build一个新的文件,其所有者设置为pipe理员,这似乎是由pipe理员显示在文件上。 如果我然后将自己设置为所有者, 并通过取消选中/重新检查inheritance权限框来重置权限,则Administrators组将会消失。
编辑:我同意renniej; 它似乎是一个Windowsfunction; 我无法想象为什么pipe理员是我创build的所有东西的所有者,甚至在我自己的桌面文件夹上。 这是一个令人讨厌的function,但正如mystikphish所说,它有一个体面的原因在那里。
但是,如果pipe理员拥有该文件是原因,为什么权限仍然声称从驱动器根目录inheritance,为什么在将所有者更改为我自己之后,pipe理员仍列出,仍然声称从驱动器根目录inheritance? 它只会在我将自己设置为所有者之后消失,并通过取消检查/检查文件的inheritance权限来重置权限。
编辑:@ HipCzeck的评论。 是的,我知道,但是我们是一个小团体,他们不太可能混淆权限。 我只是想让它成为一个痛苦的屁股,把文件放在根,我留下一个文本文件在那里注意停止这样做:)这不是一个真正的安全担心,这是更权威的斗争,哈哈。 我只是想把事情组织在这里。
编辑:@TheCleaner的答案。 “icacls c:”的输出是:(我用“MyAccount”replace了我的用户帐户)
MyAccount:(F) NT AUTHORITY\SYSTEM:(F) BUILTIN\Administrators:(F) MyAccount:(OI)(CI)(IO)(F) NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F) BUILTIN\Administrators:(OI)(CI)(IO)(F) 在该文件的安全选项卡中,它仅显示:
CREATOR OWNER Everyone MyAccount SYSTEM Users