Jede Datei oder jeder Ordner in einem NTFS-Volume hat einen Besitzer. Bestimmte Systemdateien sind im Besitz von TrustedInstaller, einige im Besitz des SYSTEM-Kontos und andere im Besitz der Gruppe „Administrators“. Wenn ein Benutzer eine Datei oder einen Ordner erstellt, ist dieser Benutzer in der Regel der Eigentümer der Datei oder des Ordners. Der Eigentümer ist derjenige, der anderen Benutzern Berechtigungen (Zulassen oder Verweigern) für dieses Objekt zuweisen kann.
Wenn ein Benutzer nicht der Eigentümer einer Datei oder eines Ordners ist oder keine Berechtigungen für den Zugriff auf die Datei hat, erhält er beim Zugriff auf das Objekt die Fehlermeldung „Zugriff verweigert“. Wenn dieser Benutzer ein Administrator ist, kann er über die Registerkarte Eigenschaften – Sicherheit der Datei oder des Ordners den Besitz des Objekts übernehmen. Dann kann er sich selbst die erforderlichen Berechtigungen zuweisen.
In diesem Beitrag erfahren Sie, wie Sie den Besitz einer Datei oder eines Ordners übernehmen und die erforderlichen Berechtigungen zuweisen können, indem Sie die Befehlszeile statt der grafischen Benutzeroberfläche verwenden.
Windows enthält ein Befehlszeilentool namens Takeown.exe, das von einer Administrator-Eingabeaufforderung aus verwendet werden kann, um den Besitz einer Datei oder eines Ordners schnell zu ändern. Im Folgenden wird beschrieben, wie Sie den Besitz einer Datei oder eines Ordners übernehmen und dann die Berechtigungen für ein Konto über die Befehlszeile zuweisen.
- Besitz einer Datei übernehmen
- Dateiberechtigungen zuweisen
- Besitz eines Ordners übernehmen
- Eigentümerschaft rekursiv ändern:
- Ordnerberechtigungen zuweisen
- Befehlszeilenhilfe:
- Einfachere Methoden für die Übernahme des Eigentums
- Befehlsskript
- Fügen Sie dem Rechtsklick-Menü den Befehl „Eigentum übernehmen“ hinzu
- Zusätzliche Informationen
- icacls.exe kann auch den Besitz einer Datei oder eines Ordners ändern!
- Eigentümerschaft einer Datei oder eines Ordners mit icacls.exe ändern
- Beispiele: Satz #1: Eigentümer einer einzelnen Datei oder eines Ordners ändern
- Beispiel #2: Eigentümerschaft für einen Ordner (Unterordner und Dateien) rekursiv ändern
- Eigentümerschaft an TrustedInstaller zurückgeben
- Verwenden Sie den Befehl icacls.exe, um TrustedInstaller als Eigentümer einer Datei festzulegen
- icacls /setowner access denied?
- SetACL.exe verwenden, um die Eigentümerschaft zu übernehmen und Berechtigungen zuzuweisen
- SetACL: Befehlszeilenargumente
- Beispiele: Eigentümer einer einzelnen Datei oder eines Ordners ändern:
- Beispiele: Eigentümerschaft rekursiv ändern:
- Beispiele: Zuweisen der erforderlichen Berechtigungen für eine Datei oder einen Ordner:
- Beispiele: Weisen Sie die erforderlichen Berechtigungen rekursiv zu:
Besitz einer Datei übernehmen
Öffnen Sie ein erweitertes Eingabeaufforderungsfenster. Verwenden Sie die folgende Syntax, um den Besitz einer Datei zu übernehmen:
TAKEOWN /F <filename>
Ersetzen Sie <Dateiname> durch den tatsächlichen Dateinamen mit dem vollständigen Pfad.
Der aktuell angemeldete Benutzer ist jetzt der Besitzer der Datei.
Um die Gruppe Administrators
zum Eigentümer der Datei zu machen, verwenden Sie zusätzlich den Schalter /A
:
TAKEOWN /F <filename> /A
-
/A
Gibt der Gruppe Administrators den Eigentümerstatus anstelle des aktuellen Benutzers. Wenn/A
nicht angegeben wird, erhält der aktuell angemeldete Benutzer das Eigentum an der Datei. Dieser Parameter unterscheidet nicht zwischen Groß- und Kleinschreibung.
Wenn der Vorgang erfolgreich war, sollten Sie die folgende Meldung sehen:
„ERFOLG: Die Datei (oder der Ordner): „Dateiname“ gehört jetzt dem Benutzer „Computername\Benutzername“.“
oder
Erfolg: Die Datei (oder der Ordner): „Dateiname“ gehört jetzt der Gruppe „Administratoren“.
Dateiberechtigungen zuweisen
Um den Administratoren Vollzugriffsrechte für die Datei zu gewähren, verwenden Sie ICACLS. Hier die Syntax:
ICACLS <filename> /grant administrators:F
Beispiel 2: Um Vollzugriffsrechte für den aktuell angemeldeten Benutzer zu vergeben, verwenden Sie diesen Befehl:
ICACLS <filename> /grant %username%:F
%Benutzername% steht für den Kontonamen des aktuell angemeldeten Benutzers. ICacls akzeptiert diese Variable direkt.
Beispiel 3: Um dem Benutzer mit dem Namen John
Vollzugriffsrechte zuzuweisen, verwenden Sie diesen Befehl:
ICACLS <filename> /grant John:F
Besitz eines Ordners übernehmen
Verwenden Sie die folgende Syntax:
takeown /f <foldername>
(oder)
takeown /f <foldername> /a
-
/a
Gibt den Besitz an die Gruppe Administratoren statt an den aktuellen Benutzer. Wenn/a
nicht angegeben wird, erhält der aktuell angemeldete Benutzer das Eigentum. Dieser Parameter unterscheidet nicht zwischen Groß- und Kleinschreibung.
Sie sehen die folgende Ausgabe:
Erfolg: Die Datei (oder der Ordner): „ordnername“ gehört jetzt dem Benutzer „computername\username“
(oder)
Erfolg: Die Datei (oder der Ordner): „Ordnername“ gehört jetzt der Gruppe „Administratoren“.
Eigentümerschaft rekursiv ändern:
Um die Eigentümerschaft eines Ordners, seiner Unterordner und der Dateien in jedem Unterordner zu ändern, verwenden Sie diese Syntax:
takeown /f <foldername> /r /d y
Der aktuell angemeldete Benutzer ist jetzt der Eigentümer des Ordners.
Um die Gruppe Administrators
zum Eigentümer des Ordners, seiner Unterordner und Dateien rekursiv zu machen, verwenden Sie zusätzlich den Schalter /A
:
TAKEOWN /F <foldername> /a /r /d y
-
/R
Recurse: weist das Tool an, Dateien im angegebenen Verzeichnis und allen Unterverzeichnissen zu bearbeiten. -
/D
prompt Standardantwort, die verwendet wird, wenn der aktuelle Benutzer nicht die Berechtigung „Ordner auflisten“ für ein Verzeichnis hat. Dies tritt auf, wenn rekursiv (/R) auf Unterverzeichnisse zugegriffen wird. Gültige Werte „Y“, um den Besitz zu übernehmen, oder „N“, um zu überspringen.
Ordnerberechtigungen zuweisen
Um der Gruppe „Administratoren“ Vollzugriffsrechte für den Ordner zuzuweisen, verwenden Sie diese Syntax:
icacls <foldername> /grant administrators:F /T
Der Parameter /T wird hinzugefügt, damit der Vorgang für alle Unterverzeichnisse und Dateien in diesem Ordner ausgeführt wird.
Befehlszeilenhilfe:
Um die vollständigen Verwendungsinformationen für Takeown.exe und ICacls.exe zu erfahren, führen Sie diese Befehle in einem Eingabeaufforderungsfenster aus.
takeown /?
icacls /?
Einfachere Methoden für die Übernahme des Eigentums
Befehlsskript
Um die Übernahme des Eigentums weiter zu vereinfachen, stellt Tim Sneath von Microsoft eine .CMD-Datei (Windows-Befehlsskript) zur Verfügung, die das Eigentum an dem Verzeichnis übernimmt und den Administratoren Vollzugriffsrechte zuweist. Weitere Informationen finden Sie in Tims Beitrag mit dem Titel Secret #11: Unlöschbares löschen.
Fügen Sie dem Rechtsklick-Menü den Befehl „Eigentum übernehmen“ hinzu
Dies wiederum verwendet das spezielle runas-Verb in Windows Vista und höher, das ich bereits früher behandelt habe (REF RunAs).
über WinMatrix.com
Laden Sie takeown_context.reg herunter und speichern Sie sie auf dem Desktop. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Zusammenführen. Klicken Sie auf Ja, wenn Sie zur Bestätigung aufgefordert werden. Dadurch wird dem Kontextmenü für Dateien und Verzeichnisse ein erweiterter Befehl namens Take Ownership hinzugefügt. Um den Befehl aufzurufen, müssen Sie die UMSCHALTTASTE gedrückt halten und dann mit der rechten Maustaste auf eine Datei oder einen Ordner klicken.
(Sie können mehr über den Tweak im Artikel Besitz einer Datei oder eines Ordners über das Rechtsklick-Kontextmenü in Windows übernehmen lesen.)
Zusätzliche Informationen
Der obige Abschnitt deckt das meiste ab, was Sie brauchen. Lesen Sie weiter unten, wenn Sie weitere Tipps zu diesem Thema benötigen.
icacls.exe kann auch den Besitz einer Datei oder eines Ordners ändern!
Takeown.exe und Icacls.exe sind die beiden eingebauten Konsolentools in Windows, mit denen Sie den Besitz von Dateien oder Ordnern ändern bzw. Zugriffsrechte zuweisen können. Takeown.exe setzt das aktuell angemeldete Benutzerkonto als Eigentümer eines Objekts (Datei oder Ordner).
Mit Takeown.exe können Sie jedoch kein anderes Konto zum Eigentümer eines Objekts machen.
Wussten Sie, dass das Tool icacls.exe auch zum Ändern der Eigentümerschaft verwendet werden kann?
Um die Eigentümerschaft auf ein fremdes Konto (d.h., d.h. das Konto, das gerade nicht angemeldet ist) oder die Gruppe zu ändern, können Sie icacls.exe mit dem /setowner
Befehlszeilenargument anstelle von takeown.exe verwenden.
Eigentümerschaft einer Datei oder eines Ordners mit icacls.exe ändern
Wie man die Eigentümerschaft mit icacls.exe ändert, haben wir im letzten Teil des Artikels Eigentümerschaft einer Datei oder eines Ordners mit der Befehlszeile in Windows übernehmen gesehen. Hier sind einige weitere Beispiele:
Nachfolgend finden Sie die Befehlszeilensyntax zum Ändern des Besitzes einer Datei oder eines Ordners mit icacls.exe:
icacls "file_or_folder_name" /setowner "NT Service\TrustedInstaller"
Beispiele: Satz #1: Eigentümer einer einzelnen Datei oder eines Ordners ändern
icacls "D:\Annual Reports20\November" /setowner "John"
icacls "D:\Tax Audit\November.xlsx" /setowner "John"
icacls "D:\Tax Audit\November.xlsx" /setowner "Administrators"
Wenn der Vorgang erfolgreich war, wird folgende Meldung angezeigt:
processed file: file_or_folder_nameSuccessfully processed 1 files; Failed processing 0 files
Beispiel #2: Eigentümerschaft für einen Ordner (Unterordner und Dateien) rekursiv ändern
Um die Eigentümerschaft eines Ordners, seiner Unterordner und aller Dateien in allen Unterordnern rekursiv zu ändern, verwenden Sie zusätzlich den Schalter /T
(traverse):
icacls "folder_name" /setowner "Administrators" /T
-
/T
gibt an, dass dieser Vorgang für alle übereinstimmenden Dateien/Verzeichnisse unterhalb der im Namen angegebenen Verzeichnisse durchgeführt wird.
Der obige Befehl legt TrustedInstaller als Eigentümer des Ordners, seiner Unterordner und aller Dateien in allen Unterordnern fest.
Eigentümerschaft an TrustedInstaller zurückgeben
Gelegentlich müssen Sie, um ein Problem zu beheben, eine Datendatei wie z. B. XML oder einen Registrierungsschlüssel ändern, die Eigentum von TrustedInstaller sind. Dazu müssen Sie zunächst den Besitz der Datei, des Ordners oder des Registrierungsschlüssels übernehmen.
Nach dem Ändern der Dateien oder Einstellungen müssen Sie den Besitz an TrustedInstaller zurückgeben, wenn TrustedInstaller der vorherige oder ursprüngliche Besitzer war. Gehen Sie folgendermaßen vor, um die Eigentümerschaft wieder auf TrustedInstaller zurückzusetzen:
Der Windows Modules Installer-Dienst oder TrustedInstaller ermöglicht die Installation, Änderung und Entfernung von Windows-Updates und optionalen Komponenten. Standardmäßig ist TrustedInstaller auch der Eigentümer vieler wichtiger Registrierungsschlüssel und Systemdateien.
- Klicken Sie mit der rechten Maustaste auf eine Datei oder einen Registrierungsschlüssel und klicken Sie auf Berechtigungen.
- Klicken Sie auf Erweitert, um das Dialogfeld Erweiterte Sicherheitseinstellungen zu öffnen.
- Klicken Sie neben „Eigentümer:“ auf Ändern.
- Geben Sie im Dialogfeld „Benutzer oder Gruppe auswählen“ „
NT SERVICE\TrustedInstaller
“ ein und drücken Sie die EINGABETASTE.
- Klicken Sie auf Übernehmen, OK.
Dadurch wird der Eigentümer des Objekts (Datei, Ordner oder Registrierungsschlüssel) auf TrustedInstaller oder Windows Modules Installer geändert.
Verwenden Sie den Befehl icacls.exe, um TrustedInstaller als Eigentümer einer Datei festzulegen
Verwenden Sie von einem Admin-Eingabeaufforderungsfenster aus die folgende Befehlszeilensyntax:
icacls "path\filename" /setowner "NT Service\TrustedInstaller"
Beispiel:
icacls "C:\Windows\PolicyDefinitions\WindowsStore.admx" /setowner "NT Service\TrustedInstaller"
TrustedInstaller ist jetzt Eigentümer der Datei WindowsStore.admx.
icacls /setowner access denied?
Gelegentlich kann die icacls.exe /setowner
Befehlszeile auf den folgenden Fehler stoßen:
filename: Access is denied.Successfully processed 0 files; Failed processing 1 files
Dies kann passieren, wenn sie auf einen NTFS-Hardlink trifft. Der Fehler tritt normalerweise auf, wenn Sie versuchen, den Besitz geschützter Dateien im Windows-Verzeichnis zu ändern – z.B. C:\Windows\Notepad.exe
. Ein Hardlink ist die Dateisystemdarstellung einer Datei, bei der mehr als ein Pfad auf eine einzelne Datei im selben Volume verweist.
Die Dateien Notepad.exe haben beispielsweise zwei Hardlinks, die Sie mit dem folgenden Befehl anzeigen können:
fsutil.exe hardlink list C:\Windows\notepad.exe
Sie können sehen, dass Notepad.exe mit den folgenden Dateien hart verknüpft ist:
C:\Windows\System32\Notepad.exeC:\Windows\WinSxS\amd64_microsoft-windows-notepad_31bf3856ad364e35_10.0.19041.488_none_4cea9379ceedab35\notepad.exe
Der Befehl icacls.exe /setowner
stößt bei der Verarbeitung dieser harten Verknüpfungen auf den Fehler ACCESS_DENIED
.
In der Dokumentation von icacls.exe heißt es: „Diese Option erzwingt keinen Eigentümerwechsel; verwenden Sie zu diesem Zweck das Dienstprogramm takeown.exe.“
Wenn Sie beim Festlegen der Eigentümerschaft mit Icacls auf die Fehlermeldung „Zugriff verweigert“ stoßen, müssen Sie möglicherweise auf Takeown.exe, SubInACL oder das Kommandozeilenprogramm SetACL.exe eines Drittanbieters (siehe nächster Abschnitt) zurückgreifen.
SetACL.exe verwenden, um die Eigentümerschaft zu übernehmen und Berechtigungen zuzuweisen
SetACL.exe ist ein Kommandozeilenprogramm eines Drittanbieters (von HelgeKlein.com), über das wir bereits berichtet haben.
SetACL: Befehlszeilenargumente
Bevor wir fortfahren, sehen wir uns die Befehlszeilensyntax zum Ändern von Datei-/Registrierungseigentümern und -berechtigungen mit SetACL an.
SetACL -on objectname -ot objecttype -actn action
-
-on
: Geben Sie den Pfad zu dem Objekt an, das SetACL bearbeiten soll (z.B., Datei, Registrierungsschlüssel, Netzwerkfreigabe, Dienst oder Drucker). -
-ot
: Geben Sie den Objekttyp an. Um den Besitz oder die Berechtigungen für eine Datei oder einen Ordner zu ändern, verwenden Sie den Objekttypfile
. Für Registrierungsschlüssel verwenden Sie den Objekttypreg
-
-actn
: Geben Sie die Aktion an, die SetACL für das angegebene Objekt durchführen soll. Um den Besitz zu übernehmen, setzen Sie die Aktion aufsetowner
. Um die Berechtigungen zu ändern, geben Sie die Aktion alsace
an. -
-ownr
: Geben Sie den Namen oder die SID eines Treuhänders (eines Benutzers oder einer Gruppe) in diesem Format an – z. B."n:Administrators"
(Eine vollständige Liste der Objekte, Typen und unterstützten Aktionen finden Sie in der SetACL-Dokumentation.)
Um den Besitz zu ändern und die volle Kontrollberechtigung zu gewähren, finden Sie hier einige Beispiele:
Beispiele: Eigentümer einer einzelnen Datei oder eines Ordners ändern:
setacl.exe -on c:\windows\notepad.exe -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller"setacl.exe -on c:\windows\notepad.exe -ot file -actn setowner -ownr "n:Administrators"setacl.exe -on c:\windows\notepad.exe -ot file -actn setowner -ownr "n:John"setacl.exe -on "d:\test" -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller"setacl.exe -on "d:\test" -ot file -actn setowner -ownr "n:Administrators"setacl.exe -on "d:\test" -ot file -actn setowner -ownr "n:John"
Beispiele: Eigentümerschaft rekursiv ändern:
Option 1: Um die Eigentümerschaft eines Ordners und seiner Unterordner (nicht für Dateien) rekursiv festzulegen, verwenden Sie eines der folgenden Beispiele:
setacl.exe -on d:\test -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller" -rec contsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Administrators" -rec contsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Ramesh" -rec cont
-
-rec
– Rekursion ist aktiviert. -
cont
– Rekursion und nur Verzeichnisse verarbeiten.
Option 2: Um den Besitz von Dateien in einem Ordner und seinen Unterordnern (nicht Ordnern) rekursiv festzulegen, verwenden Sie eines der folgenden Beispiele:
setacl.exe -on d:\test -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller" -rec objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Administrators" -rec objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Ramesh" -rec obj
-
-rec
– Rekursion ist aktiviert. -
obj
– Rekursion und nur Dateien verarbeiten.
Option 3: Um die Eigentümerschaft eines Ordners, seiner Unterordner und der Dateien rekursiv festzulegen, verwenden Sie eines der folgenden Beispiele:
setacl.exe -on d:\test -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller" -rec cont_objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Administrators" -rec cont_objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Ramesh" -rec cont_obj
-
-rec
– Rekursion ist aktiviert. -
cont_obj
– Rekursion und Verzeichnisse und Dateien verarbeiten.
Beispiele: Zuweisen der erforderlichen Berechtigungen für eine Datei oder einen Ordner:
Sobald Sie die Eigentumsrechte haben, können Sie die erforderlichen Berechtigungen für ein Objekt zuweisen. Hier sind einige Beispiele:
Um die Berechtigungen für eine einzelne Datei oder einen einzelnen Ordner zuzuweisen, verwenden Sie eines dieser Beispiele:
setacl.exe -on "d:\test\sample.xlsx" -ot file -actn ace -ace "n:Administrators;p:full"setacl.exe -on "d:\test\sample.xlsx" -ot file -actn ace -ace "n:John;p:full"setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full"setacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full"
Beispiele: Weisen Sie die erforderlichen Berechtigungen rekursiv zu:
Option 1: Für einen Ordner und Unterordner (nicht Dateien) rekursiv, verwenden Sie eines dieser Beispiele:
setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full" -rec contsetacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full" -rec cont
-
-rec
– Rekursion ist aktiviert. -
cont
– Rekursion und nur Verzeichnisse verarbeiten.
Option 2: Für Dateien in einem Ordner und Unterordnern (nicht Ordnern) rekursiv, verwenden Sie eines dieser Beispiele:
setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full" -rec objsetacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full" -rec obj
-
-rec
– Rekursion ist aktiviert. -
obj
– Rekursion, und nur Dateien verarbeiten.
Option 3: Für einen Ordner, seine Unterordner und die Dateien rekursiv, verwenden Sie eines dieser Beispiele:
setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full" -rec cont_objsetacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full" -rec cont_obj
-
-rec
– Rekursion ist aktiviert. -
cont_obj
– Rekursion und Verarbeitung von Verzeichnissen und Dateien.
Sie können die offizielle Dokumentation von SetACL lesen, um mehr über seine Fähigkeiten zu erfahren. Für das Setzen von Datei- und Ordnereigentumsrechten & sind takeown.exe und icacls.exe jedoch für die meisten Benutzer mehr als ausreichend.