อธิบายผลลัพธ์ของ ICACLS.EXE ทีละบรรทัดรายการต่อรายการ

สิ่งนี้หมายความว่า:

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

ฉันคิดว่าอันแรกหมายความว่า userid ได้รับสิทธิ์การแก้ไขในไดเรกทอรี - ซึ่งหมายความว่าผู้ใช้สามารถสร้างไฟล์หรืออัปเดตไฟล์หรือลบไฟล์ ขวา? ผู้ใช้ "NT AUTHORITY \ IUSR" คืออะไร นั่นคือ ID ผู้ใช้จริงหรือไม่ เป็นรหัสผู้ใช้ IIS เริ่มต้นหรือไม่

ตกลงบรรทัดที่สองที่ฉันคิดว่าหมายถึงกลุ่ม ได้รับการอนุญาตเดียวกัน

สิ่งที่เกี่ยวกับสายเหล่านั้นด้วย (I) และ (OI) และอื่น ๆ กรุณาอธิบาย.

windows icacls

— Cheeso
แหล่งที่มา

จากบทความ Microsoft ใน ICACLS

รายการคือผู้ใช้และกลุ่มเฉพาะสำหรับไฟล์นั้น (DOMAIN \ USER หรือ GROUP) การอนุญาตที่แสดงรายการมีดังนี้:

SID อาจอยู่ในรูปแบบชื่อหรือตัวเลข หากคุณใช้รูปแบบตัวเลขให้ใส่อักขระตัวแทน * เข้ากับจุดเริ่มต้นของ SID

icaclsเก็บรักษาลำดับคำสั่งตามบัญญัติของรายการ ACE ดังนี้:

การปฏิเสธอย่างชัดเจน

ทุนอย่างชัดเจน

การปฏิเสธที่รับมา

ทุนที่สืบทอดมา

ระดับการใช้งานเป็นรูปแบบการอนุญาตที่สามารถระบุได้ในรูปแบบใดรูปแบบหนึ่งต่อไปนี้:

ลำดับของสิทธิ์ง่าย ๆ :

F (เข้าถึงแบบเต็ม)

M (แก้ไขการเข้าถึง)

RX (อ่านและดำเนินการเข้าถึง)

R (เข้าถึงแบบอ่านอย่างเดียว)

W (เข้าถึงเพื่อเขียนอย่างเดียว)

รายการที่คั่นด้วยเครื่องหมายจุลภาคในวงเล็บของสิทธิ์เฉพาะ:

D (ลบ)

RC (ควบคุมการอ่าน)

WDAC (เขียน DAC)

WO (เจ้าของเขียน)

S (ซิงโครไนซ์)

AS (ความปลอดภัยของระบบการเข้าถึง)

แม่ (สูงสุดที่อนุญาต)

GR (อ่านทั่วไป)

GW (เขียนทั่วไป)

GE (ผู้ดำเนินการทั่วไป)

GA (ทั่วไปทั้งหมด)

RD (อ่านข้อมูล / รายการไดเรกทอรี)

WD (เขียนข้อมูล / เพิ่มไฟล์)

โฆษณา (ผนวกข้อมูล / เพิ่มไดเรกทอรีย่อย)

REA (อ่านคุณสมบัติเพิ่มเติม)

WEA (เขียนคุณสมบัติเพิ่มเติม)

X (ดำเนินการ / สำรวจ)

DC (ลบชายด์)

RA (อ่านคุณสมบัติ)

WA (เขียนคุณสมบัติ)

สิทธิ์ในการสืบทอดอาจอยู่ข้างหน้าแบบฟอร์มPermทั้งสองและจะใช้กับไดเรกทอรีเท่านั้น:

(OI) : วัตถุรับช่วง

(CI) : คอนเทนเนอร์ที่สืบทอด

(IO) : สืบทอดเท่านั้น

(NP) : ห้ามเผยแพร่การสืบทอด

(I) : การอนุญาตที่สืบทอดจากคอนเทนเนอร์พาเรนต์

สำหรับไฟล์มาสก์การอนุญาตมีการอธิบายตัวเองไม่มากก็น้อย: Rหมายความว่าคุณสามารถอ่านไฟล์Xอนุญาตให้เรียกใช้งาน (เป็นโปรแกรม) และอื่น ๆ

สำหรับวัตถุประเภทอื่นคุณจะต้องเรียกดู MSDN:

สิทธิ์ในการสืบทอดเป็นภาษาอังกฤษ:

(I) "สืบทอด": ACE นี้สืบทอดมาจากคอนเทนเนอร์หลัก
(OI) "Object สืบทอด": ACE นี้จะถูกสืบทอดโดยวัตถุที่อยู่ในคอนเทนเนอร์นี้
(CI) "คอนเทนเนอร์สืบทอด": ACE นี้จะถูกสืบทอดโดยคอนเทนเนอร์ย่อยที่อยู่ในคอนเทนเนอร์นี้
(IO)"รับช่วงเท่านั้น": ACE นี้จะถูกสืบทอด (ดูOIและCI) แต่ไม่ได้ใช้กับวัตถุนี้เอง
(NP)"ห้ามเผยแพร่": ACE นี้จะได้รับการสืบทอดโดยวัตถุและ subcontainers หนึ่งระดับลึก - มันจะไม่ใช้กับสิ่งต่าง ๆ ภายใน subcontainers

สำหรับระบบไฟล์ "container" หมายถึงโฟลเดอร์และ "object" หมายถึงไฟล์ แต่โปรดจำไว้ว่า ACLs สามารถตั้งค่าบนวัตถุประเภทอื่น ๆ ได้หลายแบบไม่ใช่ทั้งหมดที่มีแนวคิดของ "container"

— MaQleod
แหล่งที่มา

ขอขอบคุณ. ฉันเป็น google-literate และฉันสามารถอ่านได้ แต่ฉันต้องการคำอธิบายภาษาอังกฤษเกี่ยวกับความหมายของการมี (I) RX "container inherit" - อธิบายความหมายและเฉพาะเจาะจงกับตัวอย่างที่ฉันให้ไว้

— Cheeso

ในกรณีนี้คุณจะต้องมีหลักสูตรความผิดพลาดในการอนุญาต NTFS

— surfasb

หากคุณรู้เรื่องของ Google คุณสามารถ google "สิทธิ์ ntfs", "ACL" และ "สิทธิ์ไฟล์และรีจิสตรี" ตรงไปตรงมาเพื่ออธิบายทุกบรรทัดในเงื่อนไข laymans เป็นหลักเขียนบทความ Technet ทั้งหมดสำหรับคุณ

— surfasb

หนึ่งปีต่อมา ...ใช่ ขอบคุณมาก ในฐานะที่เป็นคนอื่น ๆ ที่พูดว่า: "ไปอ่านมัน" นั่นคือสิ่งที่ Superuser มีไว้สำหรับมันใช่ไหม? เพื่อตอบคำถามที่ไม่ได้รับคำตอบอย่างชัดเจนที่อื่น

— Cheeso

ฉันพบจริง ๆ แล้วที่(I)กล่าวถึงในicacls /?Windows 7 นอกจากนี้ยังมีสิทธิ์ "ลบ" ที่แยกกันสองประการ - (D)ก่อนหน้านี้ให้ความสำคัญในรายการแรกโดยมี(DE)ในรายการที่สองแทน ดูss64.com/nt/icacls.html ดูเหมือนว่าสิ่งต่าง ๆ จะเปลี่ยนไปเล็กน้อยตั้งแต่นั้นมา

— mwfearnley