ICACLS.EXE çıktısını satır satır, öğeye göre açıklayın


16

Ne anlama geliyor:

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

Birincisi, userid'in dizinde Değiştirme izinleri aldığı anlamına gelir - bu, kullanıcının dosya oluşturabileceği, dosyaları güncelleyebileceği veya dosyaları silebileceği anlamına gelir. Sağ? "NT AUTHORITY \ IUSR" kullanıcısı nedir? Bu gerçekten tek bir kullanıcı kimliği mi? Varsayılan IIS kullanıcı kimliği mi?

tamam, sanırım ikinci satır bir gruba atıfta bulunuyor. Aynı izinleri alır.

(I) ve (OI) ve benzeri tüm bu çizgiler ne olacak? Lütfen açıkla.

Yanıtlar:


24

ICACLS ile ilgili Microsoft Makalesinden

Girişler, bu dosyaya özgü kullanıcılar ve gruplardır (DOMAIN \ USER veya GROUP), listelenen izinler aşağıdaki gibidir:

SID'ler sayısal veya kolay ad biçiminde olabilir. Sayısal bir form kullanırsanız, joker karakteri * SID'nin başına yapıştırın.

icacls , ACE girişlerinin standart düzenini şu şekilde korur:

  • Açık inkarlar
  • Açık hibeler
  • Kalıtsal reddetmeler
  • Miras alınan hibeler

Perm , aşağıdaki formlardan birinde belirtilebilen bir izin maskesidir:

  1. Bir dizi basit hak:
    • F (tam erişim)
    • M (erişimi değiştir)
    • RX (okuma ve yürütme erişimi)
    • R (salt okunur erişim)
    • W (salt yazma erişimi)
  2. Belirli hakların parantezinde virgülle ayrılmış bir liste:
    • D (sil)
    • RC (okuma kontrolü)
    • WDAC (yazma DAC)
    • WO (yazarın sahibi)
    • S (senkronize et)
    • AS (erişim sistemi güvenliği)
    • MA (izin verilen maksimum)
    • GR (genel okuma)
    • GW (genel yazma)
    • GE (genel yürütme)
    • GA (genel tümü)
    • RD (veri / liste dizinini oku)
    • WD (veri yazma / dosya ekle)
    • AD (veri ekle / alt dizin ekle)
    • REA (genişletilmiş özellikleri oku)
    • WEA (genişletilmiş özellikler yazma)
    • X (yürüt / çapraz)
    • DC (alt öğeyi sil)
    • RA (okuma özellikleri)
    • WA (yazma özellikleri)

Miras hakları Perm formundan önce gelebilir ve yalnızca dizinlere uygulanır:

  • (OI) : nesne devralma
  • (CI) : konteyner devralma
  • (IO) : yalnızca devral
  • (NP) : devralma yayma
  • (I) : üst kapsayıcıdan devralınan izin

Dosyalar için izin maskeleri az çok açıklayıcıdır: Rdosyayı okuyabileceğiniz, Xyürütülmesine izin veren (bir program olarak) vb. Anlamına gelir.

Diğer nesne türleri için MSDN'ye göz atmanız gerekir:

İngilizce miras hakları:

  • (I) "Devralındı": Bu ACE, ana kaptan miras alındı.
  • (OI) "Object inherit": Bu ACE, bu kaba yerleştirilen nesneler tarafından devralınır.
  • (CI) "Konteyner devralma": Bu ACE, bu kaba yerleştirilen alt konteynerler tarafından devralınır.
  • (IO)"Yalnızca devral": Bu ACE devralınır (bakın OIve CI), ancak bu nesnenin kendisi için geçerli değildir.
  • (NP)"Yayılma": Bu ACE, bir seviye derinlikteki nesneler ve alt kapsayıcılar tarafından miras alınacaktır - alt kapsayıcılar içindeki şeyler için geçerli olmayacaktır.

Dosya sistemi için, "kapsayıcı" bir klasör ve "nesne" bir dosya anlamına gelir, ancak ACL'lerin hepsinin "kapsayıcı" kavramına sahip olmayan diğer birçok nesne türüne ayarlanabileceğini unutmayın.


1
teşekkür ederim. Google okur yazarım ve okuyabiliyorum. Ama ben sadece (I) RX olması ne anlama geldiğini ingilizce bir açıklama istiyorum. "konteyner miras" - bunun ne anlama geldiğini açıklayın ve verdiğim örneğe özgü olun.
Cheeso

Bu durumda, NTFS izinlerinde bir kilitlenme kursuna ihtiyacınız olacaktır.
surfasb

1
Google okur yazarsanız google "ntfs izinleri", "ACL" ve "Dosya ve kayıt defteri izinleri" yapabilirsiniz. Açıkçası, her satırı layman terimleriyle açıklamak, temelde sizin için bir Technet makalesinin tamamını yeniden yazmaktır.
surfasb

3
Bir yıl sonra ... Evet. Çok daha iyi teşekkürler. "Git oku" diyen diğerlerine gelince, Superuser bunun içindir, değil mi? Başka yerlerde açıkça cevaplanmayan soruları cevaplamak.
Cheeso

1
Aslında Windows 7'de (I)bahsedildi buldum icacls /?. Ayrıca iki ayrı "Sil" hakkı vardı - (D)daha önce ilk listede, (DE)bunun yerine ikinci listede yer alıyordu . Bkz. Ss64.com/nt/icacls.html . O zamandan beri işler biraz değişmiş gibi görünüyor.
mwfearnley
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.