Windows Server 2008 - 文件权限和管理员

Windows Server 2008 - 文件权限和管理员

这是我在 Windows 2008r2 上所做的

  1. 以管理员身份登录(为了测试,已禁用 UAC)

  2. 选择文件夹

  3. 编辑高级权限

  4. 取消选中“包括可继承的权限”,然后单击“删除”按钮以删除可继承的权限

  5. 收到一条消息“除所有者外,任何人都无法访问该文件夹”。此时,我认为管理员仍应具有访问权限,“任何人”不适用于我 :)

  6. 回答“OK”后,我失去了对权限窗口的所有控制权,并收到“拒绝访问”消息。唯一的选择是取得所有权并恢复具有完全控制权的管理员权限。

Windows 中是否存在相当于 Linux 根权限的用户,可以访问文件而无需授予完全控制权?

如果不是,那么在 Windows 中管理文件的唯一选项是否是授予管理员对所有文件的完全控制权(我排除了获取所有权选项,因为它不切实际)?

答案1

Windows 中是否存在相当于 Linux 根权限的用户,可以访问文件而无需授予完全控制权?

不可以。除非您的管理员用户有权限对文件执行操作(明确地或通过组成员身份),否则他将无法对该文件执行该操作。

您已注意到的例外是文件/文件夹所有权。管理用户始终能够拥有文件的所有权,并以此方式更改权限。

如果不是,那么在 Windows 中管理文件的唯一选项是否是授予管理员对所有文件的完全控制权(我排除了获取所有权选项,因为它不切实际)?

您的这个意思不是特别清楚,但一般来说,如果您希望用户管理文件或文件夹,是的,他们需要具有文件系统权限才能这样做。

答案2

Windows 中是否存在相当于 Linux 根权限的用户,可以访问文件而无需授予完全控制权?

您可以让系统管理员使用普通用户帐户,并在他们需要执行管理任务(如分配权限)时为他们提供具有管理员访问权限的帐户。毕竟,现在所有安全对话框都支持 UAC。但是,通过模拟来提升权限并非在任何环境或情况下都容易或实用,并且仍然有一些奇怪的任务使得仅通过提升权限提示来管理权限非常困难。大多数第三方供应商 IMX 仍然要求对安装其软件的系统拥有完全的管理员权限,因为开发人员讨厌记录他们需要的安全性,而供应商技术人员讨厌在他们无法管理的系统上处理安全性问题。

实际上,直接回答这个问题,Windows 上相当于 Linux 上的 root 权限,就是模拟 SYSTEM 账户(NT AUTHORITY\SYSTEM,又名本地系统),这在技术上是可行的,但一直被认为是极其糟糕的做法(除了 WMI 查询等少数狭窄范围之外),您永远不应该这样做,因为您永远不需要这样做(事实上,该帐户不允许交互式登录,您也不允许设置帐户的密码,尽管我认为您可以在该上下文中执行AT.EXE任务)。当然,您会遇到坚持要求其产品以 SYSTEM 身份运行服务的软件供应商。同样,他们这样做是因为开发人员不想记录或维护他们的程序实际需要的权限的文档,而不是因为他们实际上需要 SYSTEM 访问权限。

SYSTEM 帐户与 root 一样,拥有真正的最高权限,并且只有它才能执行某些操作。只有 SYSTEM 才能访问存储安全数据库的文件,即使这些密码以加密方式存储。只有服务和内核以 SYSTEM 身份运行。这就是为什么最佳做法是不让非 Windows 服务以 SYSTEM 身份运行。这远远超出了它们所需的权限。

但是,您仍然可以删除对文件和文件夹的 SYSTEM 访问权限。正如您所发现的,NTFS 中可能存在不存在 ACE 的文件夹或文件,因此任何帐户(包括 SYSTEM)都无法访问该文件或文件夹(尽管系统始终可以枚举项目、ACL 和所有者,但不能枚举对象的任何内容或子项)。文件或文件夹所有者是恢复此状态下访问权限的唯一方法。

如果不是,那么在 Windows 中管理文件的唯一选项是否是授予管理员对所有文件的完全控制权(我排除了获取所有权选项,因为它不切实际)?

不使用完全控制是不切实际的。您需要将管理员组完全控制分配给他们需要管理的内容,因为完全控制授予更改权限权限。 你可以尝试弄清楚仅使用组件来管理整个文件夹所需的权限,但您很快就会发现,无论如何,您必须授予完全控制权限才能进行任何实际管理。

取得所有权主要用于文件权限被意外完全删除(如您的经历)或用户帐户被删除/禁用时。与 不同chown,您只能将所有权分配给自己或管理员组。但是,根据您的备份软件的工作方式,您可能需要一个脚本来控制文件服务器上的文件。

还要注意的是,管理员拥有系统中每个磁盘根文件夹的所有权。你实际上并没有阻止恶意的群组成员做任何事情。他们已经拥有了王国的钥匙。这不是纵深防御,因为没有实际的附加安全机制。你只需要请求所有权,你就能得到它。

这里这篇文章包含了比您想知道的更多的有关 Windows ACL 的信息,包括一些关于旧 SDDL 访问控制条目格式的优秀文档。这种方法已经有点过时了,因为Get-ACLSet-ACL使用起来要容易得多……这并不是说很多。

相关内容