Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Как я могу отследить разрешения NTFS и общие разрешения, чтобы понять, почему я могу (или не могу) записать файл?

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Теоретическая часть
  4. Применение инструментов для анализа разрешений
  5. Применение на практике

Вопрос или проблема

Я пытаюсь выяснить, почему я могу записывать в папку, в которую, по моим оценкам, я не должен иметь возможность записывать. Папка поделена с «Всеми» и имеет «Полный доступ», в то время как файлы более ограничены. Моя лучшая догадка заключается в том, что существует какая-то подгруппа, членство в которой позволяет мне записывать, но вложенность групп, существующих в нашем Active Directory, довольно обширная.

Существует ли инструмент, который покажет мне, какие из записей ACL разрешили или запретили мне запись файла в папку?

Диалог эффективных разрешений немного помогает, но мне нужно что-то вроде «Инструмента трассировки NTFS ACL», если такое существует.

Попробуйте AccessChk от sysinternals:

Для обеспечения безопасности среды
администраторам Windows часто необходимо знать, какие виды доступа
конкретные пользователи или группы имеют к ресурсам, включая файлы,
каталоги, ключи реестра, глобальные объекты и службы Windows.
AccessChk быстро отвечает на эти вопросы с помощью интуитивного интерфейса
и выхода.

Думаю, это сработает.

Вы должны попробовать использовать AccessEnum.

enter image description here

Это предоставит вам различные принципы безопасности, которые имеют разрешения на чтение, запись и отказ в acl как для файлов, так и для папок. Это тоже бесплатный инструмент.

После запуска отчета откройте его и посмотрите уникальные записи для файлов и папок, которые вас интересуют, и определите эффективные разрешения оттуда. Это довольно ручной процесс, но, приложив усилия, вы можете получить очень конкретную информацию.

Похоже, вы ожидаете, что Windows сузит эти широкие разрешения, проверив только самую узкую группу. Это работает не так. Разрешения NTFS определяются следующим образом:

  1. Начните с полного отсутствия доступа по умолчанию.
  2. Накопите все разрешения всех групп в один большой набор разрешенных действий.
  3. Заберите все запрещенные разрешения всех групп (таким образом, ОТКАЗ в любом месте отменяет все остальное).

Таким образом, если вы даете группе «Все» полный контроль, и у вас есть только разрешающие права в других группах, ваше фактическое членство в группе «Все» даст вам полный доступ.

В среде Windows сложно отслеживать происхождение разрешений. Вы никогда не знаете, какая группа ответственна за определенные разрешения. Посмотрите на Perdemia Permission Analyzer, который показывает, откуда исходят разрешения NTFS.

Trace permissions

Вы можете добавить фильтры по папкам, пользователям и группам, и он включает в себя вложенные членства в группах из Active Directory. Вкладка «Trace» в нижней части экрана показывает, откуда берутся разрешения. Таким образом, чтобы ответить на ваш вопрос об инструменте трассировки NTFS ACL, я думаю, что один из инструментов Perdemia вам поможет. Вкладка ACL в нижней части показывает все записи ACL, соответствующие вашим фильтрам.

Или используйте этот скрипт PowerShell, чтобы выполнить собственный экспорт.

Если вы настраиваете ACL на общем ресурсе SMB, то вам необходимо установить разрешения как на файловой системе, так и в меню общего доступа. Вероятно, они установлены для всех только в правах общего доступа.

.

Ответ или решение

Введение в управление доступом в среде Windows может быть довольно сложным процессом, особенно когда речь идет об определении источника разрешений, которые позволяют или запрещают пользователю выполнять определенные действия. В контексте вопроса о том, почему вы можете записывать файлы в папку, в которой, согласно вашим ожиданиям, вы не должны иметь такой возможности, важно тщательно рассмотреть как NTFS-разрешения, так и разрешения на уровне сетевых ресурсов (share permissions).

Теоретическая часть

  1. Понимание NTFS-разрешений и Share Permissions:

    • NTFS-разрешения управляют доступом пользователей на уровне файловой системы. Они могут быть очень специфичными и детализированными, что позволяет или запрещает доступ пользователей на чтение, запись, выполнение и т. д.
    • Share Permissions, с другой стороны, управляют доступом на уровне сетевого ресурса и применяются, когда папка предоставляется через сеть. Обычно они менее детализированы и действуют как общий фильтр, разрешая или ограничивая доступ к ресурсам, предоставляемым через сеть.

  2. Процесс вычисления эффективных разрешений:

    • Пользователь начинает с отсутствия доступа.
    • Все разрешенные действия суммируются из всех групп, к которым он принадлежит.
    • Запреты (deny) из любой группы перевешивают все разрешенные действия, которые могут быть накоплены.

Применение инструментов для анализа разрешений

  • AccessChk из Sysinternals: Этот инструмент полезен для выявления конкретных прав, которые имеют пользователи или группы на ресурсах, таких как файлы и каталоги. С его помощью вы можете быстро получить информацию о том, какие разрешения предоставлены или ограничены для конкретного пользователя или группы.

  • AccessEnum: Инструмент, который позволяет визуально представлять и анализировать разрешения для файлов и папок. Полезно для выявления уникальных записей в ACL, которые могут влиять на то, почему вам предоставлен или ограничен доступ.

  • Perdemia Permission Analyzer: Это программное обеспечение поможет вам проследить источник NTFS-разрешений, включая встроенные группы из Active Directory. Вы можете отфильтровать данные по папкам, пользователям и группам, чтобы увидеть непосредственные источники предоставленных разрешений.

Применение на практике

  1. Используйте AccessChk для определения текущих прав доступа к интересующей вас папке. Это даст вам базовое понимание назначенных разрешений.

  2. Анализируйте структуру групп с помощью AccessEnum, чтобы выявить все учетные записи и группы, которые имеют доступ к файлам и папкам.

  3. Рассмотрите возможность использования Perdemia Permission Analyzer, чтобы разобраться в сложных вложенных группах Active Directory и точно определить, откуда возникают ваши разрешения.

  4. Проверьте Share Permissions на самом уровне сетевого ресурса, чтобы убедиться в отсутствии противоречий между разрешениями на уровне файловой системы и разрешениями на уровне сетевого доступа.

Использование этих инструментов и подходов поможет вам получить четкое представление о том, почему вы можете записывать файлы в папку, и позволит оптимизировать систему разрешений, чтобы соответствовать вашим ожиданиям.

network-shares ntfs permissions windows
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности