Icacls: Difference between revisions
No edit summary |
|||
Line 13: | Line 13: | ||
Üritades kasutada /setowner käsku Windows Server 2003 SP2, tuleb teade ’Access denied’. Vea parandamiseks on olemas eraldi hotfix või tuleb kasutada SUBINACLi. Windows Vista SP1 ja Windows Server 2008 antud viga ei esine. | Üritades kasutada /setowner käsku Windows Server 2003 SP2, tuleb teade ’Access denied’. Vea parandamiseks on olemas eraldi hotfix või tuleb kasutada SUBINACLi. Windows Vista SP1 ja Windows Server 2008 antud viga ei esine. | ||
=== Käsud === | |||
lihtsamad õigused: | |||
F - täielik juurdepääs | |||
M - muuta juurdepääs | |||
RX - lugeda ja käivitada juurdepääs | |||
R - ainult lugemise juurdepääs | |||
W - ainult kirjutamise juurdepääs | |||
komadega eraldatud sulgudes eriõigused: | |||
D - kustutada | |||
RC - lugemise kontroll | |||
WDAC - kirjutada DAC | |||
WO - kirjutamisomanik | |||
S - sünkroonida | |||
AS - juurdepääsu süsteemi turvalisus | |||
MA - maksimaalne lubatud | |||
GR - üldlugemine | |||
GW - üldkirjutamine | |||
GE - üldkäivitamine | |||
GA - generic all | |||
RD - lugeda andmeid/nimekirja list | |||
WD - kirjtuada andmeid/lisada fail | |||
AD - lisama andmeid/lisada alamkatalooge | |||
REA - loeb laiendatud atribuute | |||
WEA - kirjutab laiendatud atribuute | |||
X - käivitab/eitab | |||
DC - delete child | |||
RA - loeb atribuute | |||
WA - kirjutab atribuute | |||
=== Näited === | === Näited === |
Revision as of 15:13, 29 May 2010
Icacls ja cacls on Microsoft Windows käsurea utiliit, mis võimaldab kuvada ja muuta Access Control List (ACL) kaustadel ja failidel. Access Control List on nimekiri õigustest turvatavale objektile, kontrollides kellel on õigused failidele või kaustadele ligi pääseda.
Icacls
Windows Server 2003 SP2, Windows Vista ja Windows Server 2008 sisaldavad icacls’i, käsurea utiliiti mis kuvab, muudab, varundab ja taastab ACLi failidele ja kaustadele, seades kohustuslikud Windows Integrity Control sildid neile. Siiski ei asenda icacls täielikult cacls utiliiti. Näiteks ei saa kasutada koodi Security Descriptor Definition Language (SDDL) stringis. Icacls’i kasutamiseks peab olema eelnevalt täielikud õigused faili üle. Access Control Listi saab määrata ainult ketastele, millel on NTFS failiformaat.
Vead
Icalciga ei ole võimalik muuta olemasolevaid õigusi, selleks on vajalik XCACLSi. Üritades kasutada /setowner käsku Windows Server 2003 SP2, tuleb teade ’Access denied’. Vea parandamiseks on olemas eraldi hotfix või tuleb kasutada SUBINACLi. Windows Vista SP1 ja Windows Server 2008 antud viga ei esine.
Käsud
lihtsamad õigused: F - täielik juurdepääs M - muuta juurdepääs RX - lugeda ja käivitada juurdepääs R - ainult lugemise juurdepääs W - ainult kirjutamise juurdepääs komadega eraldatud sulgudes eriõigused: D - kustutada RC - lugemise kontroll WDAC - kirjutada DAC WO - kirjutamisomanik S - sünkroonida AS - juurdepääsu süsteemi turvalisus MA - maksimaalne lubatud GR - üldlugemine GW - üldkirjutamine GE - üldkäivitamine GA - generic all RD - lugeda andmeid/nimekirja list WD - kirjtuada andmeid/lisada fail AD - lisama andmeid/lisada alamkatalooge REA - loeb laiendatud atribuute WEA - kirjutab laiendatud atribuute X - käivitab/eitab DC - delete child RA - loeb atribuute WA - kirjutab atribuute
Näited
Kood | Tulemused |
---|---|
icacls c:\windows\* /save AclFile /T
|
Salvestab ACLi kõikidele failidele nimega AclFile, mis asuvad c:\windows kaustas ja alamkaustades. |
icacls c:\windows\ /restore AclFile | Taastab ACLi igale failile, mis on nimetatud AclFile ning asub c:\windows kaustas või alamkaustas. |
icacls file /grant Administrator:(D,WDAC) | Annab õigused kasutajale Administrator kustutada ja muuta faili nimega ’test’. |
icacls file /grant *S-1-1-0:(D,WDAC) | Annab kasutajale või grupile õigused kustutada ja muuta faili nimega ’test’, kelle turvatunnus on S-1-1-0. |
icacls c:\windows\explorer.exe | Kuvab Access Control Listi failile nimega c:\windows\explorer.exe. |
icacls file /setintegritylevel H | Muudab kohustusliku taseme kõrgeks (High) objektile nimega ’test’. |
Cacls
Cacls oli juba kasutusel Windows NT 3.5 aegadel. Uuematel operatsioonisüsteemidel on calc utiliit sisseehitatud. Caclsi kasutatakse siis kui peab paljudele kaustadele seadma juurdepääsu piirangud. Väga tüütu oleks eraldi panna igale kaustale õigused Explorer GUI’ga.
Piirangud
Cacls ei saa kuvada või muuta ACL seisundis faile, mis on lukustatud. Caclsiga ei saa seada järgmisi õiguseid: change permissions, take ownership, execute, delete, selleks peaks kasutama XCACLSi.
Näited
Kood | Tulemused |
---|---|
CACLS minufail.txt /E /G "Power Users":R | Lisab Read-Only õiguse ühele failile |
CACLS minufail.txt /E /G "inimesed":F | Lisab täielikud õigused kasutajagrupile ’inimesed’ |
CACLS minufail.txt /E /R "Power Users" | Tühistab lugemiseõigused esimesest grupist |
CACLS minufail.txt /E /G "Power Users":F | Lisab täielikud õigused esimesele grupile |
CACLS c:\fail\kodu /E /T /C /G "inimesed":F | Lisab kasutajagrupile ’inimesed’ täielikud õigused kaustale ja alamkaustadele |
Kasutatud materjalid
- http://en.wikipedia.org/wiki/Cacls
- http://ss64.com/nt/icacls.html
- http://ss64.com/nt/cacls.html
- http://www.computerperformance.co.uk/w2k3/utilities/cacls.htm
Autor
Rene Albin
AK21