none
Как дать права пользователям на редактирования файла в корне диска С: ? RRS feed

  • Вопрос

  • Скопировал файл 1.txt в корень С: , но редактировать этот файл могут только члены группы Администраторы. Пользователям права на редактирование этого файла дал, но при попытке сохранить этот файл у пользователей появляется сообщение об отсуствии доступа.
    • Изменено WowWow1234 22 ноября 2011 г. 19:33
    22 ноября 2011 г. 18:45

Ответы

  • Там всё непросто и, на мой взгляд, со стороны Microsoft неумно. Проблема заключается в т.н. Integrity Levels. Файл, помещённый в корень системного диска, наследует высокий уровень Integrity, что не позволяет его редактировать рядовым пользователям. Полное разъяснение проблемы на русском я не видел (перевести?), более-менее толковое разъяснение можете прочесть здесь: http://www.minasi.com/apps/

    Оригинальное менее понятное разъяснение от МС: http://msdn.microsoft.com/en-us/library/bb625963.aspx

    Что вам реально нужно сделать? Скачайте с Minasi программу chml и выполните chml C:\1.txt -l:m

     

     

     

    Dear Mr. Sukharev: Серёж, давно хотел сказать, вы часто ведёте себя слишком резко, посылаете в поиски и ленитесь попробовать воспроизвести ситуацию. Это надо как-то решать.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    23 ноября 2011 г. 9:32
    Отвечающий
  • В Windows 7 есть по умолчанию утилита icacls,которая позволяет менять IL.

    /setintegritylevel [(CI)(OI)]Level explicitly adds an integrity
        ACE to all matching files.  The level is to be specified as one
        of:
            L[ow]
            M[edium]
            H[igh]
        Inheritance options for the integrity ACE may precede the level
        and are applied only to directories.
    
    
    
    icacls C:\1.txt /setintegritylevel M
    

     

    23 ноября 2011 г. 10:00
  • NW:

    SYSTEM_MANDATORY_POLICY_NO_WRITE_UP

    The default policy on all object mandatory labels. The flag is equivalent to the NO_WRITE_UP access token policy. The policy restricts write access to the object by a subject with a lower integrity level.

    23 ноября 2011 г. 20:25

Все ответы

  • Скопировал файл 1.txt в корень С: , но редактировать этот файл могут только члены группы Администраторы. Пользователям права на редактирование этого файла дал, но при попытке сохранить этот файл у пользователей появляется сообщение об отсуствии доступа.
    Приведите скриншот разрешений на операции с данным файлом.

    Microsoft Certified Desktop Support Technician
    23 ноября 2011 г. 5:03
    Отвечающий
  • Если файл открыт на редактирование несколькими пользователями - могут быть конфликты.
    23 ноября 2011 г. 7:36
  • Там всё непросто и, на мой взгляд, со стороны Microsoft неумно. Проблема заключается в т.н. Integrity Levels. Файл, помещённый в корень системного диска, наследует высокий уровень Integrity, что не позволяет его редактировать рядовым пользователям. Полное разъяснение проблемы на русском я не видел (перевести?), более-менее толковое разъяснение можете прочесть здесь: http://www.minasi.com/apps/

    Оригинальное менее понятное разъяснение от МС: http://msdn.microsoft.com/en-us/library/bb625963.aspx

    Что вам реально нужно сделать? Скачайте с Minasi программу chml и выполните chml C:\1.txt -l:m

     

     

     

    Dear Mr. Sukharev: Серёж, давно хотел сказать, вы часто ведёте себя слишком резко, посылаете в поиски и ленитесь попробовать воспроизвести ситуацию. Это надо как-то решать.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    23 ноября 2011 г. 9:32
    Отвечающий
  • В Windows 7 есть по умолчанию утилита icacls,которая позволяет менять IL.

    /setintegritylevel [(CI)(OI)]Level explicitly adds an integrity
        ACE to all matching files.  The level is to be specified as one
        of:
            L[ow]
            M[edium]
            H[igh]
        Inheritance options for the integrity ACE may precede the level
        and are applied only to directories.
    
    
    
    icacls C:\1.txt /setintegritylevel M
    

     

    23 ноября 2011 г. 10:00
  • Там всё непросто и, на мой взгляд, со стороны Microsoft неумно. Проблема заключается в т.н. Integrity Levels. Файл, помещённый в корень системного диска, наследует высокий уровень Integrity, что не позволяет его редактировать рядовым пользователям. Полное разъяснение проблемы на русском я не видел (перевести?), более-менее толковое разъяснение можете прочесть здесь: http://www.minasi.com/apps/

    Оригинальное менее понятное разъяснение от МС: http://msdn.microsoft.com/en-us/library/bb625963.aspx

    Что вам реально нужно сделать? Скачайте с Minasi программу chml и выполните chml C:\1.txt -l:m

     

     

     

    Dear Mr. Sukharev: Серёж, давно хотел сказать, вы часто ведёте себя слишком резко, посылаете в поиски и ленитесь попробовать воспроизвести ситуацию. Это надо как-то решать.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    О такой проблеме не слышал, поэтому и попросил скрин предоставить. Не проверил - каюсь. Все остальное воспринимаю, принимаю и каюсь )). Ухожу в историю.

    Microsoft Certified Desktop Support Technician
    23 ноября 2011 г. 12:50
    Отвечающий
  •  

     

     

    После

    icacls C:\1.txt /setintegritylevel M

    с такими правами пользователи смогли редактировать файл.

    Спасибо. 

    Стал разбираться дальше. Сначала было



    Microsoft Windows [Version 6.1.7600]
    Copyright (c) 2009 Microsoft Corporation. All rights reserved.

    C:\Users\shuric>icacls C:\1.txt
    C:\1.txt BUILTIN\Administrators:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    BUILTIN\Users:(I)(RX)
    NT AUTHORITY\Authenticated Users:(I)(M)
    Mandatory Label\High Mandatory Level:(I)(NW)

    Successfully processed 1 files; Failed processing 0 files

    C:\Users\shuric>icacls /?

    ICACLS name /save aclfile [/T] [/C] [/L] [/Q]
    stores the DACLs for the files and folders that match the name
    into aclfile for later use with /restore. Note that SACLs,
    owner, or integrity labels are not saved.

    ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile
    [/C] [/L] [/Q]
    applies the stored DACLs to files in directory.

    ICACLS name /setowner user [/T] [/C] [/L] [/Q]
    changes the owner of all matching names. This option does not
    force a change of ownership; use the takeown.exe utility for
    that purpose.

    ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
    finds all matching names that contain an ACL
    explicitly mentioning Sid.

    ICACLS name /verify [/T] [/C] [/L] [/Q]
    finds all files whose ACL is not in canonical form or whose
    lengths are inconsistent with ACE counts.

    ICACLS name /reset [/T] [/C] [/L] [/Q]
    replaces ACLs with default inherited ACLs for all matching files.

    ICACLS name [/grant[:r] Sid:perm[...]]
    [/deny Sid:perm [...]]
    [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L] [/Q]
    [/setintegritylevel Level:policy[...]]

    /grant[:r] Sid:perm grants the specified user access rights. With :r,
    the permissions replace any previouly granted explicit permissions.
    Without :r, the permissions are added to any previously granted
    explicit permissions.

    /deny Sid:perm explicitly denies the specified user access rights.
    An explicit deny ACE is added for the stated permissions and
    the same permissions in any explicit grant are removed.

    /remove[:[g|d]] Sid removes all occurrences of Sid in the ACL. With
    :g, it removes all occurrences of granted rights to that Sid. With
    :d, it removes all occurrences of denied rights to that Sid.

    /setintegritylevel [(CI)(OI)]Level explicitly adds an integrity
    ACE to all matching files. The level is to be specified as one
    of:
    L[ow]
    M[edium]
    H[igh]
    Inheritance options for the integrity ACE may precede the level
    and are applied only to directories.

    /inheritance:e|d|r
    e - enables inheritance
    d - disables inheritance and copy the ACEs
    r - remove all inherited ACEs


    Note:
    Sids may be in either numerical or friendly name form. If a numerical
    form is given, affix a * to the start of the SID.

    /T indicates that this operation is performed on all matching
    files/directories below the directories specified in the name.

    /C indicates that this operation will continue on all file errors.
    Error messages will still be displayed.

    /L indicates that this operation is performed on a symbolic link
    itself versus its target.

    /Q indicates that icacls should supress success messages.

    ICACLS preserves the canonical ordering of ACE entries:
    Explicit denials
    Explicit grants
    Inherited denials
    Inherited grants

    perm is a permission mask and can be specified in one of two forms:
    a sequence of simple rights:
    N - no access
    F - full access
    M - modify access
    RX - read and execute access
    R - read-only access
    W - write-only access
    D - delete access
    a comma-separated list in parentheses of specific rights:
    DE - delete
    RC - read control
    WDAC - write DAC
    WO - write owner
    S - synchronize
    AS - access system security
    MA - maximum allowed
    GR - generic read
    GW - generic write
    GE - generic execute
    GA - generic all
    RD - read data/list directory
    WD - write data/add file
    AD - append data/add subdirectory
    REA - read extended attributes
    WEA - write extended attributes
    X - execute/traverse
    DC - delete child
    RA - read attributes
    WA - write attributes
    inheritance rights may precede either form and are applied
    only to directories:
    (OI) - object inherit
    (CI) - container inherit
    (IO) - inherit only
    (NP) - don't propagate inherit
    (I) - permission inherited from parent container

    Examples:

    icacls c:\windows\* /save AclFile /T
    - Will save the ACLs for all files under c:\windows
    and its subdirectories to AclFile.

    icacls c:\windows\ /restore AclFile
    - Will restore the Acls for every file within
    AclFile that exists in c:\windows and its subdirectories.

    icacls file /grant Administrator:(D,WDAC)
    - Will grant the user Administrator Delete and Write DAC
    permissions to file.

    icacls file /grant *S-1-1-0:(D,WDAC)
    - Will grant the user defined by sid S-1-1-0 Delete and
    Write DAC permissions to file.

    C:\Users\shuric>

     

    Как понять Mandatory Label\High Mandatory Level:(I)(NW) ?   (I)  значит унаследовано, а   (NW)  что значит?


    • Изменено WowWow1234 23 ноября 2011 г. 19:04
    23 ноября 2011 г. 18:07
  • Скопировал файл 1.txt в корень С: , но редактировать этот файл могут только члены группы Администраторы. Пользователям права на редактирование этого файла дал, но при попытке сохранить этот файл у пользователей появляется сообщение об отсуствии доступа.

    А почему вообще такое странное и небезопасное желание?
    Andrew Brown
    23 ноября 2011 г. 20:16
  • NW:

    SYSTEM_MANDATORY_POLICY_NO_WRITE_UP

    The default policy on all object mandatory labels. The flag is equivalent to the NO_WRITE_UP access token policy. The policy restricts write access to the object by a subject with a lower integrity level.

    23 ноября 2011 г. 20:25
  • Надо чтобы одна программа работала, а ей нужны права на редактирование файла в корне C: Файл нужен для BDE. В чем опасность дать права на полный доступ к этому файлу?
    • Изменено WowWow1234 26 ноября 2011 г. 21:56
    26 ноября 2011 г. 21:55
  • Для БДЕ не нужен ни один файл в корне, видимо у тебя плохо настроен БДЕ

    --
    Best regards
    Anatoly Podgoretsky
     
     
    "WowWow1234" сообщил/сообщила в новостях следующее: news:4fb1ce62-70ee-4fe0-85c8-3db1f00889eb...
    Надо чтобы одна программа работала, а ей нужны права на редактирование файла в корне C: Файл нужен для BDE. В чем опасность дать права на полный доступ к этому файлу?
    27 ноября 2011 г. 4:30
  • Местонахождение файла блокировок PDOXUSRS.NET конфигурируется программой BDE Administrator из комплекта BDE. У себя я организую эту структуру подобным образом:


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI
    27 ноября 2011 г. 9:22
    Отвечающий