Jokaisella NTFS-tietueessa olevalla tiedostolla tai kansiolla on omistaja. Tietyt järjestelmätiedostot omistaa TrustedInstaller, jotkin SYSTEM-tili ja jotkin ”Järjestelmänvalvojat”-ryhmä. Jos käyttäjä luo tiedoston tai kansion, hän on yleensä tiedoston tai kansion omistaja. Omistaja on se, joka voi antaa oikeuksia (Salli tai Kiellä) muille käyttäjille kyseiseen kohteeseen.

Jos käyttäjä ei ole tiedoston tai kansion omistaja tai hänellä ei ole oikeuksia käyttää tiedostoa, hän saa ”pääsy kielletty” -virheen, kun hän käyttää kohdetta. Jos kyseinen käyttäjä on järjestelmänvalvoja, hän voi ottaa objektin omistusoikeuden tiedoston tai kansion Ominaisuudet – Suojaus-välilehdellä. Sitten hän voi antaa itselleen tarvittavat oikeudet.

Tässä kirjoituksessa kerrotaan, miten tiedoston tai kansion omistusoikeus voidaan ottaa ja sille voidaan antaa tarvittavat oikeudet komentorivillä graafisen käyttöliittymän sijasta.

Windows sisältää komentorivityökalun nimeltä Takeown.exe, jota voidaan käyttää ylläpitäjän komentoriviltä tiedoston tai kansion omistusoikeuden nopeaan muuttamiseen. Seuraavassa kerrotaan, miten tiedoston tai kansion omistusoikeus otetaan ja sen jälkeen määritetään tilille käyttöoikeudet komentorivin avulla.

Tiedoston omistusoikeuden ottaminen

Avaa korotettu komentoriviikkuna. Ota tiedoston omistusoikeus seuraavalla syntaksilla:

TAKEOWN /F <filename>

Korvaa <tiedostonimi> todellisella tiedoston nimellä täydellä polulla.

Tänään kirjautunut käyttäjä on nyt tiedoston omistaja.

Jos haluat asettaa tiedoston omistajaksi Administrators-ryhmän, käytä lisäksi kytkintä /A:

TAKEOWN /F <filename> /A
  • /A Antaa omistusoikeuden nykyisen käyttäjän sijasta Järjestelmänvalvojat-ryhmälle. Jos /A:tä ei määritetä, tiedoston omistusoikeus annetaan parhaillaan kirjautuneelle käyttäjälle. Tämä parametri ei erota isoja ja pieniä kirjaimia.

Jos operaatio onnistui, näkyviin tulee seuraava viesti:

”SUCCESS: Tiedosto (tai kansio): ”tiedostonimi” on nyt käyttäjän ”Tietokoneen nimi\Käyttäjän nimi” omistuksessa.”

tai

SUCCESS: Tiedosto (tai kansio): ”tiedostonimi” on nyt Järjestelmänvalvojat-ryhmän omistuksessa.

Tiedoston käyttöoikeuksien myöntäminen

Tällöin voit myöntää Järjestelmänvalvojille täydet käyttöoikeudet tiedostoon käyttämällä ICACLS. Tässä on syntaksi:

ICACLS <filename> /grant administrators:F

Esimerkki 2: Jos haluat antaa Full Control -oikeudet tällä hetkellä kirjautuneelle käyttäjälle, käytä tätä komentoa:

ICACLS <filename> /grant %username%:F

%käyttäjänimi% edustaa tällä hetkellä kirjautuneen käyttäjän tilinimeä. ICacls hyväksyy tämän muuttujan suoraan.

Esimerkki 3: Jos haluat antaa Full Control -oikeudet käyttäjälle nimeltä John, käytä tätä komentoa:

ICACLS <filename> /grant John:F

Kansion omistusoikeuden ottaminen

Käytä seuraavaa syntaksia:

takeown /f <foldername>

(tai)

takeown /f <foldername> /a
  • /a Antaa omistusoikeuden Järjestelmänvalvojat-ryhmälle senhetkisen käyttäjän sijaan. Jos /a ei ole määritetty, omistusoikeus annetaan tällä hetkellä kirjautuneelle käyttäjälle. Tämä parametri ei erota isoja ja pieniä kirjaimia.

Näet seuraavan tulosteen:

SUCCESS: Tiedosto (tai kansio): ”

(tai)

SUCCESS: Tiedosto (tai kansio): ”

Omistusoikeuden muuttaminen rekursiivisesti:

Kansion, sen alikansioiden ja kussakin alikansiossa olevien tiedostojen omistusoikeuden muuttamiseksi käytä tätä syntaksia:

takeown /f <foldername> /r /d y

Kansion omistaja on nyt kirjautunut käyttäjä.

Jos haluat asettaa Administrators-ryhmän kansion, sen alikansioiden ja tiedostojen omistajaksi rekursiivisesti, käytä lisäksi kytkintä /A:

TAKEOWN /F <foldername> /a /r /d y
  • /R Recurse: käskee työkalua toimimaan määritellyssä hakemistossa ja kaikissa alikansioissa oleviin tiedostoihin.
  • /D kehote Oletusarvoinen vastaus, jota käytetään silloin, kun tämänhetkisellä käyttäjällä ei ole hakemiston käyttöoikeutta ”listaa kansiot”. Tämä tapahtuu operoitaessa rekursiivisesti (/R) alihakemistoihin. Valid values ”Y” to take ownership or ”N” to skip.

Assign Folder Permissions

Tällöin voit antaa Järjestelmänvalvojat-ryhmälle täydet hallintaoikeudet kansioon käyttämällä tätä syntaksia:

icacls <foldername> /grant administrators:F /T

Parametrin /T lisääminen lisää sen, että operaatio suoritetaan kaikkien kyseisessä kansiossa olevien alihakemistojen ja tiedostojen kautta.

Komentorivin ohje:

Tietääksesi Takeownin täydelliset käyttötiedot.exe ja ICacls.exe, suorita nämä komennot komentoriviikkunasta.

takeown /?
icacls /?

Helpompia menetelmiä omistusoikeuden ottamiseen

Komentoskripti

Omistusoikeuden ottamisen yksinkertaistamiseksi entisestään Tim Sneath Microsoftilta tarjoaa .CMD-tiedoston (Windows Command Script), joka ottaa omistusoikeuden ja antaa hakemiston täydet hallintaoikeudet järjestelmänvalvojille. Lisätietoja on Timin kirjoituksessa Secret #11 (Salaisuus #11): Deleting the Undeletable.

Lisää hiiren oikealla napsautuksella avattavaan valikkoon komento ”Take Ownership” (Ota omistusoikeus)

Tässä käytetään taas Windows Vistassa ja uudemmissa Windows Vista -käyttöjärjestelmissä käytettävää erityistä runas-verbiä, jota olen käsitellyt jo aiemmin (REF RunAs).

viitaten WinMatrix.com

Lataa takeown_context.reg-tiedosto (takeown_context.reg) alas tietokoneelta, ja tallenna Desktopiin. Napsauta tiedostoa hiiren kakkospainikkeella ja valitse Merge. Napsauta Kyllä, kun pyydetään vahvistusta. Tämä lisää tiedostojen ja hakemistojen kontekstivalikkoon laajennetun komennon nimeltä Ota omistusoikeus. Voit käyttää komentoa pitämällä SHIFT-näppäintä painettuna ja napsauttamalla hiiren kakkospainikkeella tiedostoa tai kansiota.

(Voit lukea lisää virityksestä artikkelista Ota tiedoston tai kansion omistusoikeus hiiren oikealla napsautuksen kontekstivalikon kautta Windowsissa.)

Lisätietoja

Yllä oleva osio kattaa suurimman osan tarvitsemistasi asioista. Lue alta, jos tarvitset lisää vinkkejä aiheesta.

icacls.exe voi myös vaihtaa tiedoston tai kansion omistusoikeutta!

Takeown.exe ja Icacls.exe ovat Windowsin kaksi sisäänrakennettua konsolityökalua, joiden avulla voit vaihtaa tiedostojen tai kansioiden omistusoikeutta ja määrätä käyttöoikeuksia. Takeown.exe asettaa parhaillaan kirjautuneen käyttäjätilin objektin (tiedoston tai kansion) omistajaksi.

Mutta Takeown.exe-työkalun avulla et voi tehdä toista tiliä objektin omistajaksi.

Tiesitkö, että myös icacls.exe-työkalua voidaan käyttää omistajuuden muuttamiseen?

Vaihtaa omistajuuden kolmannen osapuolen tilille (esim, tilille, joka ei ole tällä hetkellä kirjautuneena sisään) tai ryhmälle, voit käyttää komentoriviargumentilla /setowner varustettua icacls.exe-tiedostoa takeown.exe-tiedoston sijasta.

Tiedoston tai kansion omistusoikeuden muuttaminen icacls.exe-tiedoston tai kansion avulla

Katsoimme, miten omistusoikeus muutetaan icacls.exe-tiedoston tai kansion omistusoikeuden muuttaminen komentorivin avulla Windowsissa -artikkelin viimeisessä osassa. Seuraavassa on lisää esimerkkejä:

Seuraavassa on komentorivin syntaksi tiedoston tai kansion omistusoikeuden muuttamiseksi icacls.exe:n avulla:

icacls "file_or_folder_name" /setowner "NT Service\TrustedInstaller"

Esimerkkejä: Sarja #1: Yksittäisen tiedoston tai kansion omistusoikeuden muuttaminen

icacls "D:\Annual Reports20\November" /setowner "John"
icacls "D:\Tax Audit\November.xlsx" /setowner "John"
icacls "D:\Tax Audit\November.xlsx" /setowner "Administrators"

Jos toiminto onnistui, näet seuraavan viestin:

processed file: file_or_folder_nameSuccessfully processed 1 files; Failed processing 0 files

Esimerkki #2: Kansion (alikansion ja tiedostojen) omistusoikeuden muuttaminen rekursiivisesti

Jos haluat muuttaa kansion, sen alikansioiden ja kaikkien alikansioiden kaikkien tiedostojen omistusoikeutta rekursiivisesti, käytä lisäksi /T-kytkintä (traverse):

icacls "folder_name" /setowner "Administrators" /T
  • /T ilmaisee, että tämä operaatio suoritetaan kaikille vastaaville tiedostoille/kansioille nimessä määritettyjen hakemistojen alapuolella.

Yllä oleva komento asettaa TrustedInstallerin kansion, sen alikansioiden ja kaikkien alikansioissa olevien tiedostojen omistajaksi.

Palauta omistusoikeus takaisin TrustedInstallerille

Joskus ongelman korjaamiseksi voi olla tarpeen muuttaa datatiedostoa, kuten XML:ää, tai rekisteriavainta, jonka omistaa TrustedInstaller. Tätä varten sinun on ensin otettava tiedoston, kansion tai rekisteriavaimen omistusoikeus.

Tiedostojen tai asetusten muuttamisen jälkeen sinun on palautettava omistusoikeus takaisin TrustedInstallerille, jos TrustedInstaller oli edellinen tai alkuperäinen omistaja. Voit asettaa omistusoikeuden takaisin TrustedInstallerille seuraavasti:

Windows Modules Installer -palvelu eli TrustedInstaller mahdollistaa Windows-päivitysten ja valinnaisten komponenttien asentamisen, muuttamisen ja poistamisen. Oletusarvoisesti TrustedInstaller on myös monien kriittisten rekisteriavainten ja järjestelmätiedostojen omistaja.

  1. Klikkaa hiiren kakkospainikkeella tiedostoa tai rekisteriavainta ja napsauta Permissions (Oikeudet).
  2. Klikkaa Advanced (Lisäasetukset) avataksesi Advanced Security Settings (Lisätietoturva-asetukset) -valintaikkunan.
  3. Klikkaa ”Owner:” (Omistaja:) -kohdan läheisyydessä Change (Muuta).
  4. Kirjoita Select User or Group (Valitse käyttäjä tai ryhmä) -valintaikkunaan ”NT SERVICE\TrustedInstaller” ja paina ENTER-näppäintä.
  5. Klikkaa Apply (Käytä), OK.

Tämä muuttaa kohteen (tiedosto, kansio tai rekisteriavain) omistusoikeuden muotoon TrustedInstaller (Luottamuksellinen asentaja) tai Windows-moduulien asentaja.

Komennon icacls.exe käyttäminen TrustedInstallerin asettamiseksi tiedoston omistajaksi

Käytä seuraavaa komentorivin syntaksia järjestelmänvalvojan komentoriviikkunasta:

icacls "path\filename" /setowner "NT Service\TrustedInstaller"

Esimerkki:

icacls "C:\Windows\PolicyDefinitions\WindowsStore.admx" /setowner "NT Service\TrustedInstaller"

TrustedInstaller omistaa nyt tiedoston WindowsStore.admx.

icacls /setowner access denied?

Joskus icacls.exe /setowner-komentorivi voi kohdata seuraavan virheen:

filename: Access is denied.Successfully processed 0 files; Failed processing 1 files

Tämä voi tapahtua, kun se kohtaa NTFS-kiintolinkin. Virhe tulee yleensä esiin, kun yrität vaihtaa Windows-hakemistossa olevien suojattujen tiedostojen omistusoikeutta – esim. C:\Windows\Notepad.exe. Kova linkki on tiedostojärjestelmän esitys tiedostosta, jonka avulla useampi kuin yksi polku viittaa samaan tiedostoon samassa tietueessa.

Esimerkiksi Notepad.exe-tiedostoissa on kaksi kovasti linkitettyä tiedostoa, jotka näet seuraavalla komennolla:

fsutil.exe hardlink list C:\Windows\notepad.exe

Voit nähdä, että Notepad.exe on kovasti linkitetty seuraaviin tiedostoihin:

C:\Windows\System32\Notepad.exeC:\Windows\WinSxS\amd64_microsoft-windows-notepad_31bf3856ad364e35_10.0.19041.488_none_4cea9379ceedab35\notepad.exe

Komento icacls.exe /setowner kohtaa ACCESS_DENIED-virheen käsitellessään näitä kovia linkkejä.

Huomaa, että icacls.exe-dokumentaatiossa sanotaan: ”Tämä vaihtoehto ei pakota omistajuuden vaihtoa; käytä siihen takeown.exe-apuohjelmaa.”.”

Jos kohtaat ”Access is Denied”-virheitä, kun asetat omistusoikeutta Icacls-ohjelmalla, joudut ehkä turvautumaan Takeown.exe-, SubInACL- tai kolmannen osapuolen SetACL.exe-komentoriviohjelmaan (ks. seuraava kappale).

SetACL.exe:n käyttäminen omistusoikeuden ottamiseen ja käyttöoikeuksien myöntämiseen

SetACL.exe on kolmannen osapuolen komentorivityökalu (HelgeKlein.com), jota olemme käsitelleet aiemmin.

SetACL: Komentoriviargumentit

Katsotaan ennen jatkamista komentorivin syntaksi, jolla tiedoston/rekisterin omistusoikeutta ja käyttöoikeuksia muutetaan SetACL:n avulla.

SetACL -on objectname -ot objecttype -actn action
  • -on: Määrittele polku objektiin, johon SetACL:n on tarkoitus toimia (esim, tiedosto, rekisteriavain, verkkojako, palvelu tai tulostin).
  • -ot: Määritä objektin tyyppi. Jos haluat muuttaa tiedoston tai kansion omistusoikeutta tai käyttöoikeuksia, käytä objektityyppiä file. Käytä rekisteriavaimille objektityyppiä reg
  • -actn: Määritä toiminto, mitä SetACL:n pitäisi tehdä määritetylle objektille. Jos haluat ottaa omistusoikeuden, määritä toiminnoksi setowner. Jos haluat muuttaa oikeuksia, aseta toiminnoksi ace.
  • -ownr: Määritä edunvalvojan (käyttäjän tai ryhmän) nimi tai SID tässä muodossa – esim. "n:Administrators"

(Katso SetACL:n dokumentaatiosta täydellinen luettelo objekteista, tyypeistä ja tuetuista toiminnoista.)

Omistusoikeuden muuttamiseksi ja täyden hallinnan myöntämiseksi annetaan seuraavat esimerkit:

Esimerkkejä: Yksittäisen tiedoston tai kansion omistusoikeuden muuttaminen:

setacl.exe -on c:\windows\notepad.exe -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller"setacl.exe -on c:\windows\notepad.exe -ot file -actn setowner -ownr "n:Administrators"setacl.exe -on c:\windows\notepad.exe -ot file -actn setowner -ownr "n:John"setacl.exe -on "d:\test" -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller"setacl.exe -on "d:\test" -ot file -actn setowner -ownr "n:Administrators"setacl.exe -on "d:\test" -ot file -actn setowner -ownr "n:John"

Esimerkkejä: Omistusoikeuden muuttaminen rekursiivisesti:

Vaihtoehto 1: Jos haluat määrittää kansion ja sen alikansioiden (ei tiedostojen) omistusoikeuden rekursiivisesti, käytä jotakin seuraavista esimerkeistä:

setacl.exe -on d:\test -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller" -rec contsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Administrators" -rec contsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Ramesh" -rec cont
  • -rec – rekursio on käytössä.
  • cont – rekursio, ja käsittele vain hakemistoja.

Vaihtoehto 2: Jos haluat määrittää kansion ja sen alikansioiden (ei kansioiden) tiedostojen omistusoikeuden rekursiivisesti, käytä jotakin seuraavista esimerkeistä:

setacl.exe -on d:\test -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller" -rec objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Administrators" -rec objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Ramesh" -rec obj
  • -rec – rekursio on käytössä.
  • obj – Rekurssi ja vain tiedostojen käsittely.

Vaihtoehto 3: Jos haluat määrittää kansion, sen alikansioiden ja tiedostojen omistusoikeuden rekursiivisesti, käytä jotakin seuraavista esimerkeistä:

setacl.exe -on d:\test -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller" -rec cont_objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Administrators" -rec cont_objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Ramesh" -rec cont_obj
  • -rec – rekurssi on käytössä.
  • cont_obj – Rekurssi sekä hakemistojen ja tiedostojen käsittely.

Esimerkkejä: Määritä tarvittavat käyttöoikeudet tiedostolle tai kansiolle:

Kun sinulla on omistusoikeus, voit määrittää kohteelle tarvittavat käyttöoikeudet. Seuraavassa on joitakin esimerkkejä:

Jos haluat määrittää käyttöoikeudet yksittäiselle tiedostolle tai kansiolle, käytä jotakin näistä esimerkeistä:

setacl.exe -on "d:\test\sample.xlsx" -ot file -actn ace -ace "n:Administrators;p:full"setacl.exe -on "d:\test\sample.xlsx" -ot file -actn ace -ace "n:John;p:full"setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full"setacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full"

Esimerkkejä: Määritä tarvittavat käyttöoikeudet rekursiivisesti:

Vaihtoehto 1: Kansiolle ja alikansioille (ei tiedostoille) rekursiivisesti, käytä jotakin näistä esimerkeistä:

setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full" -rec contsetacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full" -rec cont
  • -rec – rekursio on käytössä.
  • cont – rekursio, ja käsittele vain hakemistoja.

Vaihtoehto 2: Kansiossa ja alikansioissa (ei kansioissa) oleville tiedostoille rekursiivisesti, käytä jotakin seuraavista esimerkeistä:

setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full" -rec objsetacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full" -rec obj
  • -rec – rekursio on käytössä.
  • obj – rekursio ja vain tiedostojen käsittely.

Vaihtoehto 3: Käytä kansiolle, sen alikansioille ja tiedostoille rekursiivisesti jompaakumpaa seuraavista esimerkeistä:

setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full" -rec cont_objsetacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full" -rec cont_obj
  • -rec – rekursio on käytössä.
  • cont_obj – rekursio sekä hakemistojen ja tiedostojen käsittely.

Voit tutustua SetACL:n viralliseen dokumentaatioon saadaksesi tietoa sen kaikista mahdollisuuksista. Tiedostojen ja kansioiden omistusoikeuksien & asettamiseen takeown.exe ja icacls.exe ovat kuitenkin useimmille käyttäjille enemmän kuin riittäviä.

Vastaa

Sähköpostiosoitettasi ei julkaista.