因此,需要澄清的是:我想删除名为“更改权限”的高级权限,因为即使您使用从组(在本例中为管理员)中删除权限icacls,尽管组中的任何人都无法编辑或删除目标文件,但他们仍然可以进入文件属性并编辑权限以将自己恢复满的或者调整或诸如此类的。
我不想在以下问题上偏离主题“为什么要从计算机管理员中删除这些权限?”所以可以说我已经让 SYSTEM 拥有完全控制权,并且我通过以 LOCAL SYSTEM 身份运行的服务来管理我需要的一切,所以基本上仍然可以访问该文件,但是我需要以我所需的方式访问它。
我只是在语法中找不到iCacls任何允许我修改的东西'先进的'权限,也就是“更改权限”项目是。
答案1
是的,它就在icacls /?帮助屏幕上:
perm 是权限掩码,可以采用以下两种形式之一指定:
一系列简单权利:
[...]
括号中以逗号分隔的特定权利列表:
DE-删除
RC——读取控制
WDAC——写入 DAC
WO-写所有者
S——同步
AS——访问系统安全
MA-最大允许值
GR-通用读取
GW-通用写入
GE-通用执行
GA-通用全部
RD-读取数据/列表目录
WD--写入数据/添加文件
AD - 附加数据/添加子目录
REA-- 读取扩展属性
WEA-- 写入扩展属性
X-执行/遍历
DC--删除子项
RA--读取属性
WA——写入属性
继承权可以优先于任何一种形式,并适用
仅限目录:
(OI)- 对象继承
(CI)-容器继承
(IO)-仅继承
(NP) - 不要传播继承
(I)- 从父容器继承的权限
这些是您所看到的所有“高级”权限的通用名称。“更改权限”被称为“写入 DAC”,因为它允许写入/修改自由访问控制列表。
所包含的示例特别提到了此权限:
icacls 文件 /grant 管理员:(D,WDAC)
- 将授予用户管理员删除和写入 DAC 的权限
文件的权限。
icacls 文件 /grant *S-1-1-0:(D,WDAC)
- 将授予 sid S-1-1-0 定义的用户删除和
将 DAC 权限写入文件。
您可以执行与上述示例相反的操作,并明确/deny指定 WDAC 权限。
但是,请记住权限方案有两个安全网:
文件所有者可以随时更改其权限,绕过任何“拒绝写入 DAC”权限条目。如果您不希望管理员能够授予自己额外的权限,请确保该文件不属于管理员(例如将其所有者设置为 SYSTEM)。
管理员被授予 SeTakeOwnershipPrivilege,可以随时更改文件的所有权,绕过任何“拒绝写入所有者”权限条目。如果您不希望管理员能够这样做……好吧,他们管理员,他们已经拥有整个系统。