Я удалил группу «Администраторы» с вкладки безопасности для корневого диска «C: \» в системе Windows Server 2003, чтобы предотвратить предоставление полного доступа всем администраторам.
Теперь, когда я создаю файл в корне диска (или вложенных папках, настроенных на наследование разрешений), безопасность для файлов перечисляет группу «Администраторы» с разрешением «Полный доступ», утверждая, что они унаследованы от корня диска «C: \».
Как файлы могут наследовать разрешения группы администраторов, которые я удалил из корня диска?
Если вы являетесь членом группы администраторов, то это, хм, функция Windows, которая устанавливает владельцем как группу администраторов, а не вашу учетную запись пользователя.
Я предполагаю, что вы видите администраторов в разрешениях, потому что у вас есть CREATOR / OWNER в корневом ACL. В этом случае СОЗДАТЕЛЬ / ВЛАДЕЛЕЦ - это администраторы (из-за поведения, описанного выше), поэтому администраторы отображаются в ACL.
Я не большой поклонник включения CREATOR / OWNER в ACL именно потому, что вы можете получить такое странное поведение. Я всегда устанавливаю права root только для администраторов и SYSTEM с полным доступом, а затем добавляю дополнительные разрешения для подкаталогов только по мере необходимости.
JR
Иногда их можно вспомнить, особенно если что-то с этим справляется. На вкладке безопасности перейдите к расширенному и выберите вариант замены записей разрешений, что должно принудить его.
Это может быть связано с тем, что группа «Администраторы» является владельцем папки, а файлы создаются с разрешением для доступа владельца.
почему ты хочешь сделать это? Похоже, у вас есть несколько учетных записей администраторов, и теперь вы не хотите, чтобы они устанавливали программное обеспечение ... только предположение.
Также существует группа, имеющая СПЕЦИАЛЬНЫЕ разрешения в корне C. Либо Прошедшие проверку пользователи, либо Все, в зависимости от того, на какой ОС вы работаете.
Вам действительно нужно будет опубликовать вывод этой команды здесь, чтобы мы были уверены в том, что происходит:
icacls c:
или
cacls c:
Вывод поможет определить проблему.
Возникает вопрос, почему права администратора (полный доступ) наследуются от корня, когда их там нет?
РЕДАКТИРОВАТЬ: Несмотря на то, что я являюсь владельцем корневой папки, когда я создаю новый файл, его владелец установил для него значение «Администраторы», что, по-видимому, принадлежит администраторам, отображается в файле. Если я затем сделаю себя владельцем, и сбросьте разрешения, сняв / повторно отметив поле наследования разрешений, после чего группа «Администраторы» исчезнет.
РЕДАКТИРОВАТЬ: я согласен с Реннией; похоже, это функция Windows; Я не могу представить себе другую причину, по которой администраторы являются владельцем всего, что я создаю, даже в моей папке на рабочем столе. Это неприятная особенность, но, как сказал мистикфиш, у нее есть веская причина для этого.
Однако, если причиной являются администраторы, владеющие файлом, почему разрешение по-прежнему заявляет, что унаследовано от корня диска, и почему после смены владельца на себя администраторы все еще отображаются в списке и по-прежнему утверждают, что унаследованы от корня диска? Он уходит только после того, как я установил себя владельцем и сбросил разрешения, сняв / проверив наследование разрешений для файла.
РЕДАКТИРОВАТЬ: комментарий @ HipCzeck. Да, я знаю это, но мы небольшая группа, и они вряд ли будут связываться с разрешениями. Я просто хочу сделать занозой в заднице помещать файлы в корень, и я оставил там текстовый файл с примечанием прекратить это делать :) На самом деле это не проблема безопасности, это скорее борьба за власть, лол. Я просто пытаюсь здесь все организовать.
РЕДАКТИРОВАТЬ: ответ @ TheCleaner. Вывод «icacls c:»: (Я заменил свою учетную запись на «MyAccount»)
MyAccount:(F)
NT AUTHORITY\SYSTEM:(F)
BUILTIN\Administrators:(F)
MyAccount:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
На вкладке безопасности для файла отображаются только:
CREATOR OWNER
Everyone
MyAccount
SYSTEM
Users