Icacls - jak získat kontrolu nad D: zpět? Bez formátu
Zdravím,
hraju si s nastavenim opravneni na discich pomoci ICACLS (ve virtualu, takže když se něco po**** tak to tak nevadí)
Tak jsem si hral a hral, až jsem to doprasil do stavu že se na ten disk nemuzu nijak dostat. A to za pomoci jediného příkazu: icacls \\wds\d$ /reset /T /C /L /Q
Syntax (Replace ACL with default inherited acls for all matching files)
ICACLS name /reset [/T] [/C] [/L] [/Q]
Mylně jsem se domníval že tímto příkazem si obnovím default permissions :)
Otázka zní: jak získat kontrolu nad D: zpět? Bez formátu ..
Změna předmětu, původně: Icacls (LaKr) (Kráťa)
Prihlasis sa ako spravca a pravy klik - zabezpecenie. Nastavis si prava alebo preberes vlastnictvo a nastavis prava.
Samozrejme nie v Home windows (lebo velky Bill rozhodol ze ludia s Home sa nesmu dostat k svojim diskom), a predtym samozrejme vypnut zjednodusene zdielanie.
Upřesním: nelze. Nelze převzít vlastnictví, nelze ani spustit kartu zabezpečení - všechno Access Denied. A jedná se o Server 2008 R2
Jde o virtual takže jde celkem o prd, ale zajímá mě to z toho důvodu kdyby se to někdy povedlo takto doprasit i na produkčním serveru.
Zkusmo jsem to ještě udělal i na System disku "C" a to samé. Díky tomu nejde spustit ani management console, skoro vůbec nic kromě regeditu. Takže tento dotaz je spíš pro ty kteří mají nějaký virtuální server, udělají to samé co já a pak se to budou snažit napravit.
Jelikož o tom něco málo vím, tak nemusíte dávat rady které by běžný "advanced user" už vyzkoušel - tady to bude chtít nějakou specialitku :)
Ked mas home tak skus
ICACLS \\wds\d$ /grant Everyone:F /T /C /L /Q
alebo citat icacls.html
\\wds\d$: Access is denied.
prihlaseny si ako kto?
D: namiesto \\wds\d$ nefunguje?
P.S. ale uz ked si odstrelil aj C: tak to uz nespravis, jedine z ineho OS.
Mozes skusit aj SetACL mozno vypise aspon ze co je tam konkretne za problem.
C:\Users\Administrator>c:
Access is denied.
C:\Users\Administrator>icacls c:
c: NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
Everyone:(I)(RX)
Everyone:(I)(OI)(CI)(IO)(GR,GE)
Successfully processed 1 files; Failed processing 0 files
C:\Users\Administrator>icacls c:\Windows
c:\Windows NT SERVICE\TrustedInstaller:(F)
NT SERVICE\TrustedInstaller:(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(M)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Administrators:(M)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
BUILTIN\Users:(RX)
BUILTIN\Users:(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(OI)(CI)(IO)(F)
Successfully processed 1 files; Failed processing 0 files
C:\Users\Administrator>cd c:\Windows
Access is denied.
Veškerý přístup na C je denied.. ani slozku si po přihlášení (divný že se vůbec přihlásím) nevytvořím :)
BUILTIN\Administrators tam ma plny pristup
bud si prihlaseny nejak blbo alebo to dedi odniekial z vyssej urovne(?) nejake zakazy a musis nastavit tu vyssiu uroven :) Ale neviem ze jaka este tam je vyssia uroven.
A este si pozri aj tento hotfix
943043
je mozne ze ho treba nainstalit a potom mozes skusit znova ten /reset
a pripadne skus /inheritance len neviem ci najprv skusit :d alebo :r Ja by som najprv asi skusil :r
P.S. a mozes skusit aj SetACL, konkretne example 1.7 http://helgeklein.com/setacl/examples/managing-fil e-system-permissions-with-setacl-exe/#example-1-7- cleaning-up-acls
Vyzkouším odpoledne :)
Ono cokoliv instalovat v tomto stavu nebo spoustet je skoro nemozne - bud je zakazan pristup nebo windows hlasi že nema pamet - zrejme se to nejak odstrelilo i od systemovych prostredku :)
No, a nebo to vzít z druhé strany .. cilem techto pokusu je odebrat skupine users pravo zapisu na C: - aby si tam nemohli vytvaret slozky.
Viz mail ktery jsem psal jednomu znamemu:
Jedná se o to že máme server 2008 R2, který chceme zpřístupnit nějaké skupině uživatelů (přidáme do skupiny Remote Desktop Users). Rádi bychom ho zabezpečili tak aby tito useri - s oprávněním běžného usera - mohli dělat jen věci které bych jim chtěl dovolit dělat.. Tj. manage tiskáren, share folderů ...a zpřístupnit jim pouze jeden disk kde si mohou dělat co chtějí a zbytek zakázat.
Všechno pořešeno, ale nejsem si úplně jistý nastavením zabezpečení na SYSTEM DRIVE.
Uživatel po přihlášení na server může vytvářet na C: složky, což není žádoucí - má v defaultu special permission "create folder/append data).
Pomocí utilitky ICALCS vyjedou pro skupinu USERS následující údaje:
Default
BUILTIN\Users:(OI)(CI)(RX)
BUILTIN\Users:(CI)(AD)
BUILTIN\Users:(CI)(IO)(WD)
Pomocí příkazu
icacls \\wds\c$ /grant:r users:(CI)
sice atribut AD zmizí, ale má to za následek i to, že userům se nevytváří po přihlášení nový profil v c:\Users, ale přihlásí se do TEMP profilu.
BUILTIN\Users:(OI)(CI)(RX)
BUILTIN\Users:(CI)(IO)(WD)
Disků je na serveru několik, všechny se dají pomocí ICALCS /GRANT USER:(OI)(CI)F .. atd ošetřit podle potřeby, případně přes /remove úplně přístup odebrat, ale C: dělá problémy.
Takže pokud by někdo věděl jak omezit pravo zapisu na C pomoci ICACLS aby jinak vse ostatni fungovalo, sem s radou :)
Dik