„Windows“ failų sistemos problemos: kodėl man neleidžiama naudotis?

Skelbimas

Nuo NTFS failų sistema Nuo FAT iki NTFS iki ZFS: Demystified failų sistemosSkirtingi standieji diskai ir operacinės sistemos gali naudoti skirtingas failų sistemas. Štai ką tai reiškia ir ką reikia žinoti. Skaityti daugiau buvo įvestas kaip numatytasis formatas vartotojams skirtuose „Windows“ leidimuose (pradedant nuo „Windows XP“), žmonėms kilo problemų pasiekti savo duomenis tiek vidiniame, tiek vidiniame išoriniai diskai. Daugiau nėra paprastų failų atributų, kurie yra vienintelė problemų ieškant ir naudojant failus failas. Dabar, kai atrado vienas iš mūsų skaitytojų, mes turime kovoti su failų ir aplankų leidimais.

Mūsų skaitytojo klausimas:

Nematau aplankų savo vidiniame kietajame diske. Aš vykdiau komandą „Attrib-h-r-s / s / d“ ir rodo, kad prieiga atmesta kiekviename aplanke. Aš galiu eiti į aplankus naudodamas komandą Vykdyti, bet nematau aplanko kietajame diske. Kaip tai išspręsti?

Bruce'o atsakymas:

Čia yra keletas saugių prielaidų, pagrįstų mums pateikta informacija: Operacinė sistema yra „Windows XP“ ar naujesnė; naudojama failų sistema yra NTFS; vartotojas neturi visos kontrolės leidimų failo sistemos dalyje, kuria bando manipuliuoti; jie nėra administratoriaus kontekste; ir numatytieji failų sistemos leidimai galėjo būti pakeisti.

Viskas „Windows“ yra objektas, nesvarbu, ar tai registro raktas, spausdintuvas ar failas. Net jei jie naudoja tuos pačius mechanizmus vartotojo prieigai apibrėžti, mes apsiribosime failų sistemos objektais, kad jis būtų kuo paprastesnis.

Prieigos kontrolė

Saugumas Raudonas įspėjimas: 10 kompiuterių saugos tinklaraščių, kuriuos turėtumėte sekti šiandienSaugumas yra esminė skaičiavimo dalis, todėl turėtumėte stengtis šviesti save ir išlikti aktualiais. Norėsite patikrinti šiuos dešimt saugos tinklaraščių ir juos rašančius saugumo ekspertus. Skaityti daugiau bet koks dalykas yra kontroliuoti kas gali ką nors padaryti ant pritvirtinamo objekto. Kas turi rakto kortelę, kuri atrakintų vartus, kad patektų į junginį? Kas turi raktus atidaryti generalinio direktoriaus kabinetą? Kas turi derinį atidaryti seifą savo biure?

Tas pats mąstymas galioja ir failų bei aplankų saugumui NTFS failų sistemose. Kiekvienas sistemos vartotojas neturi pateisinamo poreikio prieiti prie visų sistemos failų, taip pat visi jie neturi turėti tokios pačios prieigos prie šių failų. Kaip ir kiekvienam įmonės darbuotojui, nereikia turėti prieigos prie seifo generalinio direktoriaus kabinete ar galimybės modifikuoti įmonių ataskaitas, nors jiems gali būti leista jas skaityti.

Leidimai

„Windows“ kontroliuoja prieigą prie failų sistemos objektų (failų ir aplankų), nustatydama leidimus vartotojams ar grupėms. Jie nurodo, kokią prieigą prie objekto turi vartotojas ar grupė. Šiuos leidimus galima nustatyti kaip vieną leisti arba paneigti konkretų prieigos tipą ir gali būti tiesiogiai nustatytas objekte arba netiesiogiai paveldint iš jo pagrindinio aplanko.

Standartiniai failų leidimai yra šie: Visiškas valdymas, Modifikavimas, Skaitymas ir vykdymas, Skaitymas, Rašymas ir Specialusis. Aplankai turi dar vieną specialų leidimą, vadinamą Aplanko turinio sąrašas. Šie standartiniai leidimai yra iš anksto nustatyti rinkiniai išplėstiniai leidimai kurios leidžia detaliau valdyti, tačiau paprastai nėra reikalingos už standartinių leidimų ribų.

Pavyzdžiui, Skaitykite ir vykdykite standartinis leidimas apima šiuos išplėstinius leidimus:

• Aplanko aplankas / vykdomasis failas
• Aplanko sąrašas / skaitykite duomenis
• Perskaitykite atributus
• Perskaitykite išplėstinius atributus
• Perskaitykite leidimus

Prieigos kontrolės sąrašai

Kiekvienas failas sistemos objektas turi susijusį prieigos kontrolės sąrašą (ACL). ACL yra saugos identifikatorių (SID), turinčių objekto teises, sąrašas. Vietos saugos tarnybos posistemis (LSASS) palygins SID, pridėtą prie prieigos prieigos rakto, suteikto vartotojui prisijungiant, su SID ACL objekte, kurį vartotojas bando pasiekti. Jei vartotojo SID nesutampa su jokiu ACL SID, prieiga bus atmesta. Jei ji sutampa, prašoma prieiga bus suteikta arba atmesta remiantis SID leidimais.

Taip pat yra leidimų įvertinimo tvarka, į kurią reikia atsižvelgti. Aiškūs leidimai turi viršenybę prieš numanomus leidimus, o neigiami leidimai turi viršenybę prieš leidimus. Tvarka, ji atrodo taip:

1. Aiškus neigimas
2. Aiškus leidimas
3. Numanomas neigimas
4. Netiesioginis leidimas

Numatytieji šakninio katalogo leidimai

Pagrindiniame disko kataloge suteiktos leidimai šiek tiek skiriasi, atsižvelgiant į tai, ar diskas yra sistemos diskas, ar ne. Kaip matyti toliau pateiktame paveikslėlyje, sistemos diską turi du atskiri Leisti autentifikuotų vartotojų įrašai. Yra tas, kuris leidžia autentifikuotiems vartotojams kurti aplankus ir pridėti duomenis prie esamų failų, bet nekeisti jokių esamų failo duomenų, susijusių tik su šakniniu direktorija. Kita galimybė leidžia autentifikuotiems vartotojams modifikuoti failus ir aplankus, esančius poaplankiuose, jei tas poaplankas paveldi teises iš šaknies.

Sistemos katalogai („Windows“, programos duomenys, programų failai, programų failai (x86), vartotojai arba dokumentai ir parametrai ir galbūt kiti) nepaveldėjo savo teisių iš šakninio katalogo. Kadangi jie yra sistemos katalogai, jų leidimai yra aiškiai nustatyti siekiant užkirsti kelią netyčinis ar kenkėjiškas operacinės sistemos, programos ir konfigūracijos failų pakeitimas kenkėjiška programa ar įsilaužėlis.

Jei tai nėra sistemos diskas, skirtumas yra tik tas, kad autentifikuotų vartotojų grupėje yra vienas leidimo įrašas, leidžiantis modifikuoti šakninio aplanko, poaplankių ir failų leidimus. Visi leidimai, priskirti 3 grupėms ir SISTEMOS paskyrai, yra paveldimi visame diske.

Problemos analizė

Kai mūsų plakatas važiavo atributas komanda, bandanti pašalinti bet kokius sistemos, paslėptus ir tik skaitomus atributus iš visų failų ir aplankų, prasidedančių (neapibrėžtas) katalogas, kuriame jie buvo, jie gavo pranešimus, kuriuose nurodoma, kokį veiksmą jie norėjo atlikti (Rašyti atributus) būti paneigtam. Priklausomai nuo katalogo, kuriame jie buvo, kai vykdė komandą, tai greičiausiai labai geras dalykas, ypač jei jie buvo C: \.

Užuot bandžius vykdyti šią komandą, būtų buvę geriau tiesiog pakeisti „Windows Explorer“ / „File Explorer“ nustatymus, kad būtų rodomi paslėpti failai ir katalogai. Tai galima lengvai padaryti nuvykus į Sutvarkykite> Aplankas ir paieškos parinktys Windows Explorer arba Failas> Pakeisti aplanką ir paieškos parinktis „File Explorer“. Gautame dialogo lange pasirinkite Skirtukas „Peržiūra“> Rodyti paslėptus failus, aplankus ir diskus. Jei tai įjungta, paslėpti katalogai ir failai sąraše bus rodomi kaip pritemdyti elementai.

Šiuo metu, jei failai ir aplankai vis dar nerodomi, kyla problemų dėl aplanko sąrašo / skaitymo duomenų išplėstinio leidimo. Arba vartotojas, arba grupė, kuriai jis priklauso aiškiai arba netiesiogiai nesuteikė leidimo nagrinėjamiems aplankams arba vartotojas nepriklauso jokiai grupei, turinčiai prieigą prie tų aplankų.

Galite paklausti, kaip skaitytojas galėtų tiesiogiai patekti į vieną iš šių aplankų, jei vartotojas neturi leidimų sąrašo / skaitymo duomenų teisių. Jei žinote kelią į aplanką, galite pereiti prie jo, jei jame turite išplėstinius leidimus perkelti katalogą / vykdyti failą. Tai taip pat yra priežastis, dėl kurios greičiausiai nekyla problemų dėl standartinio sąrašo aplanko turinio leidimo. Tai turi tiek šių išplėstinių leidimų.

Rezoliucija

Išskyrus sistemos katalogus, dauguma teisių paveldimos grandinėje. Taigi, pirmas žingsnis yra nustatyti katalogą, esantį arčiausiai disko šaknies, kur simptomai yra. Kai šis katalogas yra, dešiniuoju pelės mygtuku spustelėkite jį ir pasirinkite Ypatybės> Sauga. Patikrinkite kiekvienos iš išvardytų grupių / vartotojų leidimus, kad patikrintumėte, ar stulpelyje Leisti pažymėti aplanko Sąrašo turinio leidimą, o ne stulpelyje Atmesti.

Jei nė vienas stulpelis nėra pažymėtas, taip pat žiūrėkite į įrašą Specialūs leidimai. Jei tai pažymėta (leisti arba atmesti), spustelėkite Pažengęs tada mygtuką Keisti leidimus gautame dialogo lange, jei naudojate „Vista“ ar naujesnę versiją. Bus parodytas beveik identiškas dialogo langas su keliais papildomais mygtukais. Pasirinkite tinkamą grupę, spustelėkite Redaguoti ir įsitikinkite, kad sąrašo aplanko / skaitymo duomenų leidimas yra leidžiamas.

Jei čekiai pilki, tai reiškia, kad tai yra paveldėtas leidimas, ir pakeisti jį reikia pagrindiniame aplanke, nebent yra įtikinama priežastis to nedaryti, pvz., tai yra vartotojo profilio katalogas, o pirminis vartotojas yra „Dokumentai ir nustatymai“ aplankas. Taip pat neprotinga pridėti leidimus antrajam vartotojui, kad jis galėtų pasiekti kito vartotojo profilio katalogą. Vietoj to, prisijunkite kaip vartotojas, kad galėtumėte pasiekti tuos failus ir aplankus. Jei tai kažkas, kas turėtų būti dalijamasi, perkelkite juos į viešojo profilio katalogą arba naudokite skirtuką Bendrinimas, kad kiti vartotojai galėtų pasiekti išteklius.

Taip pat gali būti, kad vartotojas neturi leidimo redaguoti nagrinėjamų failų ar katalogų leidimus. Tokiu atveju „Windows Vista“ ar naujesnė versija turėtų pateikti a Vartotojo abonemento valdymas (UAC) Nustokite erzinti UAC raginimus - kaip sukurti vartotojo abonemento valdymo baltąjį sąrašą [Windows]Nuo pat „Vista“, mes, „Windows“ vartotojai, esame nusivylę, suklydę, susierzinę ir pavargę nuo vartotojo abonemento valdymo (UAC) raginimo, kuris mums sako, kad vykdoma programa, kurią mes sąmoningai paleidome. Žinoma, jis patobulėjo, ... Skaityti daugiau paprašykite administratoriaus slaptažodžio arba leidimo pakelti vartotojo teises, kad būtų suteikta prieiga. Naudodamas „Windows XP“, vartotojas turėtų atidaryti „Windows Explorer“ naudodamas parinktį Vykdyti kaip… ir naudoti Administratoriaus sąskaita „Windows“ administratoriaus sąskaita: viskas, ką reikia žinotiPradėjus naudoti „Windows Vista“, įmontuota „Windows“ administratoriaus paskyra pagal numatytuosius nustatymus yra išjungta. Galite tai įjungti, tačiau tai darykite savo rizika! Mes jums parodysime kaip. Skaityti daugiau jei norite, kad pakeitimai būtų atlikti, jei jie dar nevykdomi su administracine sąskaita.

Aš žinau, kad daugelis žmonių jums tiesiog lieps prisiimti nagrinėjamus katalogus ir bylas, tačiau yra vienas didelis perspėjimas dėl to sprendimo. Jei tai paveiks visus sistemos failus ir (arba) katalogus, smarkiai susilpninsite bendrą sistemos saugumą. Tai turėtų niekada tai turi būti atlikta šaknies, „Windows“, „Vartotojai“, „Dokumentai ir parametrai“, „Program Files“, „Program Files“ (x86), „Program Data“ arba „inetpub“ kataloguose ar bet kuriuose jų poaplankuose.

Išvada

Kaip matote, NTFS diskų leidimai nėra pernelyg sunkūs, tačiau prieigos problemų šaltinio nustatymas sistemose, turinčiose daug katalogų, gali būti varginantis. Apsiginklavę pagrindiniu supratimu, kaip leidimai veikia su prieigos kontrolės sąrašu ir šiek tiek atkaklumo, šių problemų nustatymas ir pašalinimas greitai taps žaidimu vaikams.