Windows Server 2008 – 文件权限和pipe理员

这就是我在Windows 2008r2上所做的

  1. 以pipe理员身份login(UAC因testing而被禁用)

  2. select一个文件夹

  3. 编辑高级权限

  4. 取消选中“包含可inheritance的权限”,然后点击“删除”button删除可inheritance的权限

  5. 有一条消息“没有人能够访问文件夹,除了所有者”。 在这一点上,我认为pipe理员应该仍然有访问权限,“没有人”不适用于我:)

  6. 在回答OK之后,我失去了对权限窗口的所有控制,并且获得了“拒绝访问”消息。 唯一的select是取得所有权,并把完全控制的pipe理员放回去。

在Windows中是否有一个与Linux相同的等同权限,可以在不授予完全控制权的情况下访问文件?

如果不是,pipe理Windows中的文件的唯一select是给所有文件pipe理员完全控制(我不包括采取所有权选项不实际)?

在Windows中是否有一个与Linux相同的等同权限,可以在不授予完全控制权的情况下访问文件?

否。除非您的pipe理员用户有权对文件执行操作(显式或通过组成员资格),否则他将无法对该文件执行操作。

您注意到的例外情况是文件/文件夹所有权。 pipe理用户将始终能够获取文件的所有权,并以这种方式更改权限。

如果不是,pipe理Windows中的文件的唯一select是给所有文件pipe理员完全控制(我不包括采取所有权选项不实际)?

这不是特别清楚你的意思,但一般来说,如果你想要一个用户来pipe理一个文件或文件夹,是的,他们需要有文件系统权限来这样做。

在Windows中是否有一个与Linux相同的等同权限,可以在不授予完全控制权的情况下访问文件?

您可以使系统pipe理员使用普通用户帐户,并在需要执行分配权限等pipe理任务时为其提供pipe理员访问权限的帐户。 毕竟,安全对话现在都支持UAC。 然而,通过冒充提升在每个环境或情况下都不容易或实用,并且仍然存在一些古怪的任务,使pipe理员只能通过提升提示来进行。 大多数第三方供应商IMX仍然要求安装软件的系统拥有完全的pipe理员权限,因为开发人员不愿意logging他们需要的安全性,而供应商技术人员不愿意处理他们不能pipe理的系统上的安全性。

为了直接回答这个问题,Windows到Linux根目录上的等价物将模拟系统帐户(NT AUTHORITY \ SYSTEM,又名LocalSystem ),这在技术上是可行的,但一直被认为是极其糟糕的做法(除了一些狭窄的范围外WMI的查询),你永远不应该这样做,因为你永远不需要(实际上,不允许帐户交互式login,你不能设置帐户的密码,但我认为你在AT.EXE执行的情况下AT.EXE任务)。 当然,你会有软件供应商坚持他们的产品运行服务作为系统。 同样,他们这样做是因为开发人员不希望logging或维护他们程序实际需要的权限的文档,而不是因为他们实际上需要SYSTEM访问权限。

与root一样,SYSTEM帐户具有真正的最高权限,只有它可以做某些事情。 只有SYSTEM有权访问存储安全数据库的文件,即使这些密码是以encryption方式存储的。 只有服务和内核作为SYSTEM运行。 这就是为什么不让非Windows服务作为SYSTEM运行的最佳实践。 它比他们需要的权限多得多。

但是,您仍然可以删除对文件和文件夹的SYSTEM访问权限。 正如你发现的那样,NTFS有可能拥有没有ACE存在的文件夹或文件,因此没有帐户可以访问文件或文件夹,包括SYSTEM(尽pipe系统总是允许仍然枚举项目,ACL和所有者,只是没有任何内容或对象的孩子)。 文件或文件夹所有者是在此状态下恢复访问的唯一方法。

如果不是,pipe理Windows中的文件的唯一select是给所有文件pipe理员完全控制(我不包括采取所有权选项不实际)?

不使用完全控制是不实际的。 您需要将pipe理员组完全控制权分配给他们需要pipe理的内容,因为完全控制授予更改权限权限 。 你可以尝试找出你需要什么权限来pipe理整个文件夹只使用组件,但你很快就会发现你将不得不基本上授予完全控制能够做任何真正的pipe理。

获取所有权主要用于文件权限被意外删除(如您的经验)或用户帐户被删除/禁用时使用。 与chown不同,您只能将所有权分配给您自己或pipe理员组。 但是,根据备份软件的工作方式,您可能需要使用脚本来控制文件服务器上的文件。

另请注意,pipe理员对系统中每个磁盘的根文件夹拥有取得所有权。 你实际上并没有阻止该组织的恶意成员做任何事情。 他们已经拥有了王国的钥匙,就像那样。 这不是深度防御,因为没有实际的附加安全机制。 你只需要索取所有权,你就可以得到它。

这里有一篇比您想要了解的有关Windows ACL更多信息的文章,其中包括一些关于旧版SDDL访问控制条目格式的良好文档。 这个方法有点失宠,因为Get-ACLSet-ACL非常容易使用…并不是说那么多。