Egy NTFS kötetben minden fájlnak vagy mappának van tulajdonosa. Bizonyos rendszerfájlok a TrustedInstaller, néhány a SYSTEM fiók, mások pedig a “Rendszergazdák” csoport tulajdonában vannak. Ha egy felhasználó létrehoz egy fájlt vagy mappát, akkor általában ez a felhasználó a fájl vagy mappa tulajdonosa. A tulajdonos az, aki az adott objektumhoz engedélyeket (Engedélyezés vagy Megtagadás) adhat más felhasználóknak.

Ha egy felhasználó nem tulajdonosa egy fájlnak vagy mappának, vagy nincs jogosultsága a fájlhoz, akkor az objektum elérésekor a “hozzáférés megtagadva” hibaüzenetet kapja. Ha ez a felhasználó rendszergazda, akkor a fájl vagy mappa Tulajdonságok – Biztonság lapján keresztül tulajdonjogot szerezhet az objektumra. Ezután hozzárendelheti magának a szükséges jogosultságokat.

Ez a bejegyzés arról szól, hogyan veheti át egy fájl vagy mappa tulajdonjogát, és hogyan rendelheti hozzá a szükséges jogosultságokat a GUI helyett a parancssor segítségével.

A Windows tartalmaz egy Takeown.exe nevű parancssori eszközt, amely az admin parancssorból használható egy fájl vagy mappa tulajdonjogának gyors módosítására. Íme, hogyan lehet egy fájl vagy mappa tulajdonjogát átvenni, majd egy fiókhoz engedélyeket rendelni a parancssor segítségével.

Fájl tulajdonjogának átvétele

Megnyit egy emelt szintű parancssor ablakot. Egy fájl tulajdonjogának átvételéhez használja a következő szintaxist:

TAKEOWN /F <filename>

A <fájlnév> helyébe a tényleges fájlnév lép a teljes elérési úttal.

A jelenleg bejelentkezett felhasználó lett a fájl tulajdonosa.

Hogy a Administrators csoport legyen a fájl tulajdonosa, használja a /A kapcsolót is:

TAKEOWN /F <filename> /A
  • /A A tulajdonjogot az aktuális felhasználó helyett a Rendszergazdák csoportnak adja. Ha a /A nincs megadva, a fájl tulajdonjogát az aktuálisan bejelentkezett felhasználó kapja meg. Ez a paraméter nem érzékeny a nagy- és kisbetűkre.

Ha a művelet sikeres volt, a következő üzenetet kell megjelenítenie:

“SIKERES: A fájl (vagy mappa):

vagy

SIKER: A “fájlnév” mostantól a “Számítógép neve\Felhasználó neve” felhasználó tulajdonában van.”

SIKER: A fájl (vagy mappa): “

Fájljogosultságok kiosztása

Ezután a rendszergazdáknak teljes körű jogosultságokat adhat a fájlhoz az ICACLS használatával. Íme a szintaxis:

ICACLS <filename> /grant administrators:F

2. példa: Ha az aktuálisan bejelentkezett felhasználónak szeretne teljes körű jogosultságokat adni, használja ezt a parancsot:

ICACLS <filename> /grant %username%:F

%felhasználónév% az aktuálisan bejelentkezett felhasználó fióknevét jelöli. Az ICacls közvetlenül elfogadja ezt a változót.

3. példa: A John nevű felhasználónak a Teljes irányítási jogosultságok kiosztásához használja ezt a parancsot:

ICACLS <filename> /grant John:F

Egy mappa tulajdonjogának átvétele

A következő szintaxist használja:

takeown /f <foldername>

(vagy)

takeown /f <foldername> /a
  • /a Az aktuális felhasználó helyett a Rendszergazdák csoportnak adja a tulajdonjogot. Ha a /a nincs megadva, a tulajdonjog az aktuálisan bejelentkezett felhasználóé lesz. Ez a paraméter nem érzékeny a nagy- és kisbetűkre.

A következő kimenetet fogja látni:

SIKERÜLT: A fájl (vagy mappa): “

(vagy)

SUCCESS: A fájl (vagy mappa): “

A tulajdonjog rekurzív módon történő megváltoztatása:

A mappa, az almappák és az egyes almappákban lévő fájlok tulajdonjogának megváltoztatásához használja ezt a szintaxist:

takeown /f <foldername> /r /d y

A jelenleg bejelentkezett felhasználó a mappa tulajdonosa.

A Administrators csoport rekurzív módon történő beállításához a mappa, az almappák és a fájlok tulajdonosának, használja ezen kívül a /A kapcsolót:

TAKEOWN /F <foldername> /a /r /d y
  • /R Recurse: arra utasítja az eszközt, hogy a megadott könyvtárban és az összes alkönyvtárban lévő fájlokkal operáljon.
  • /D prompt Alapértelmezett válasz, amelyet akkor használ, ha az aktuális felhasználó nem rendelkezik a “list folder” jogosultsággal egy könyvtárban. Ez akkor fordul elő, amikor rekurzívan (/R) operál az alkönyvtárakon. Érvényes értékek “Y” a tulajdonjog átvételéhez vagy “N” a kihagyáshoz.

Mappaengedélyek hozzárendelése

Ezután a Rendszergazdák csoportnak a mappa teljes körű ellenőrzési jogosultságainak hozzárendeléséhez használja ezt a szintaxist:

icacls <foldername> /grant administrators:F /T

A /T paramétert azért kell hozzáadni, hogy a művelet az adott mappán belüli összes alkönyvtáron és fájlon keresztül történjen.

A parancssori súgó:

A Takeown teljes használati információjának megismeréséhez.exe és az ICacls.exe parancsok ismereteit, futtassa ezeket a parancsokat egy parancssor ablakból.

takeown /?
icacls /?

A tulajdonjog átvételének egyszerűbb módszerei

Parancsszkript

A tulajdonjog átvételének további egyszerűsítése érdekében Tim Sneath a Microsofttól egy .CMD fájlt (Windows Command Script) biztosít, amely átveszi a könyvtár tulajdonjogát és a rendszergazdák számára a teljes vezérlési jogosultságokat adja. További információért olvassa el Tim Titok #11 című bejegyzését: A törölhetetlenek törlése.

Adja hozzá a “Take Ownership” parancsot a jobb klikk menühöz

Ez ismét a Windows Vista és újabb verziók speciális runas igéjét használja, amellyel korábban már foglalkoztam (REF RunAs).

via WinMatrix.com

Töltse le a takeown_context.reg fájlt és mentse az asztalra. Kattintson a jobb gombbal a fájlra, és válassza az Egyesítés parancsot. Kattintson az Igen gombra, amikor megerősítést kér. Ezzel a fájlok és könyvtárak kontextusmenüjébe felveszi a Take Ownership nevű bővített parancsot. A parancs eléréséhez tartsa lenyomva a SHIFT billentyűt, majd kattintson a jobb gombbal a fájlra vagy mappára.

(A tweakről bővebben a Fájl vagy mappa tulajdonjogának átvétele a Windows jobbklikkes kontextusmenüben című cikkben olvashat.)

További információk

A fenti szakasz a legtöbb szükséges dolgot tartalmazza. Olvassa el az alábbiakat, ha további tippekre van szüksége a témával kapcsolatban.

Az icacls.exe is képes megváltoztatni egy fájl vagy mappa tulajdonjogát!

A Takeown.exe és az Icacls.exe a Windows két beépített konzolos eszköze, amelyekkel megváltoztathatja a fájl vagy mappa tulajdonjogát, illetve hozzáférési jogosultságokat rendelhet hozzá. A Takeown.exe az aktuálisan bejelentkezett felhasználói fiókot teszi meg egy objektum (fájl vagy mappa) tulajdonosává.

A Takeown.exe segítségével azonban nem lehet egy másik fiókot az objektum tulajdonosává tenni.

Tudta, hogy az icacls.exe eszközzel is módosítható a tulajdonjog?

A tulajdonjogot egy harmadik fél fiókjára (pl., a jelenleg nem bejelentkezett fiókra) vagy csoportra, a takeown.exe helyett használhatja az icacls.exe programot a /setowner parancssori argumentummal.

Fájl vagy mappa tulajdonjogának megváltoztatása az icacls.exe segítségével

A fájl vagy mappa tulajdonjogának megváltoztatását az icacls.exe segítségével a Fájl vagy mappa tulajdonjogának megváltoztatása a Windows parancssor segítségével című cikk utolsó részében láttuk. Íme még néhány példa:

Az alábbi parancssori szintaxis szerint módosíthatja egy fájl vagy mappa tulajdonjogát az icacls.exe programmal:

icacls "file_or_folder_name" /setowner "NT Service\TrustedInstaller"

Példák: Készlet #1: Egyetlen fájl vagy mappa tulajdonjogának módosítása

icacls "D:\Annual Reports20\November" /setowner "John"
icacls "D:\Tax Audit\November.xlsx" /setowner "John"
icacls "D:\Tax Audit\November.xlsx" /setowner "Administrators"

Ha a művelet sikeres volt, a következő üzenet jelenik meg:

processed file: file_or_folder_nameSuccessfully processed 1 files; Failed processing 0 files

Példa #2: Egy mappa (almappa és fájlok) tulajdonjogának rekurzív megváltoztatása

Egy mappa, annak almappái és az összes almappában lévő összes fájl tulajdonjogának rekurzív megváltoztatásához használja a /T kapcsolót (traverse) ezen kívül:

icacls "folder_name" /setowner "Administrators" /T
  • /T jelzi, hogy ez a művelet a névben megadott könyvtárak alatti összes megfelelő fájlon/könyvtáron végrehajtódik.

A fenti parancs a TrustedInstaller-t a mappa, az almappák és az összes almappában lévő összes fájl tulajdonosává teszi.

Visszaállítja a tulajdonjogot a TrustedInstaller-re

Néha egy probléma kijavításához szükség lehet egy adatfájl, például az XML vagy egy, a TrustedInstaller tulajdonában lévő beállításkulcs módosítására. Ehhez először át kell vennie a fájl, mappa vagy beállításkulcs tulajdonjogát.

A fájlok vagy beállítások módosítása után vissza kell állítania a tulajdonjogot a TrustedInstallerre, ha a TrustedInstaller volt az előző vagy eredeti tulajdonos. A következő lépésekkel állíthatja vissza a tulajdonjogot a TrustedInstallerre:

A Windows Modules Installer szolgáltatás vagy TrustedInstaller lehetővé teszi a Windows frissítések és opcionális összetevők telepítését, módosítását és eltávolítását. Alapértelmezés szerint a TrustedInstaller számos kritikus rendszerleíró kulcs és rendszerfájl tulajdonosa is.

  1. Kattintson a jobb gombbal egy fájlra vagy rendszerleíró kulcsra, majd kattintson az Engedélyek gombra.
  2. Kattintson a Speciális gombra a Speciális biztonsági beállítások párbeszédpanel megnyitásához.
  3. A “Tulajdonos:” mellett kattintson a Módosítás gombra.
  4. A Felhasználó vagy csoport kiválasztása párbeszédpanelen írja be a “NT SERVICE\TrustedInstaller” szöveget, majd nyomja le az ENTER billentyűt.
  5. Kattintson az Alkalmaz, OK gombra.

Ezáltal az objektum (fájl, mappa vagy beállításkulcs) tulajdonjoga TrustedInstaller vagy Windows Modules Installer-re változik.

Az icacls.exe parancs használata a TrustedInstaller fájl tulajdonosának beállításához

Egy admin parancssor ablakból a következő parancssori szintaxissal:

icacls "path\filename" /setowner "NT Service\TrustedInstaller"

Példa:

icacls "C:\Windows\PolicyDefinitions\WindowsStore.admx" /setowner "NT Service\TrustedInstaller"

TrustedInstaller mostantól a WindowsStore fájl tulajdonosa.admx.

icacls /setowner access denied?

Néha a icacls.exe /setowner parancssor a következő hibával találkozhat:

filename: Access is denied.Successfully processed 0 files; Failed processing 1 files

Ez akkor fordulhat elő, ha NTFS merev kapcsolattal találkozik. A hiba általában akkor bukkan fel, amikor a Windows könyvtárban lévő védett fájlok tulajdonjogát próbálja megváltoztatni – pl. C:\Windows\Notepad.exe. A hard link egy olyan fájlrendszeri ábrázolás, amellyel egynél több elérési út hivatkozik egyetlen fájlra ugyanabban a kötetben.

A Notepad.exe fájloknak például két hard linkelt fájlja van, amit a következő paranccsal láthat:

fsutil.exe hardlink list C:\Windows\notepad.exe

Láthatja, hogy a Notepad.exe a következő fájlokhoz van hardlinkelve:

C:\Windows\System32\Notepad.exeC:\Windows\WinSxS\amd64_microsoft-windows-notepad_31bf3856ad364e35_10.0.19041.488_none_4cea9379ceedab35\notepad.exe

A icacls.exe /setowner parancs ezen hardlinkek feldolgozásakor a ACCESS_DENIED hibával találkozik.

Megjegyezzük, hogy az icacls.exe dokumentáció szerint: “Ez az opció nem kényszeríti ki a tulajdonosváltást; erre a célra használja a takeown.exe segédprogramot.”

Ha az Icacls használatával történő tulajdonjog beállításakor “Access is Denied” hibával találkozik, akkor a Takeown.exe, a SubInACL vagy a harmadik féltől származó SetACL.exe (lásd a következő bekezdést) parancssori segédprogramra kell támaszkodnia.

A SetACL.exe használata a tulajdonjog átvételéhez és az engedélyek kiosztásához

A SetACL.exe egy harmadik féltől származó parancssori eszköz (a HelgeKlein.com), amellyel már korábban foglalkoztunk.

SetACL: Parancssori argumentumok

A folytatás előtt lássuk a parancssori szintaxist a fájl/regiszter tulajdonjogának és jogosultságainak megváltoztatásához a SetACL segítségével.

SetACL -on objectname -ot objecttype -actn action
  • -on: Adja meg az objektum elérési útvonalát, amelyen a SetACL-nek működnie kell (Pl, fájl, beállításkulcs, hálózati megosztás, szolgáltatás vagy nyomtató).
  • -ot: Az objektum típusának megadása. Egy fájl vagy mappa tulajdonjogának vagy engedélyeinek módosításához használja az file objektumtípust. A beállításkulcsok esetében használja az reg
  • -actn objektumtípust: Adja meg a műveletet, hogy mit tegyen a SetACL a megadott objektummal szemben. A tulajdonjog átvételéhez adja meg a műveletet setowner. A jogosultságok módosításához a műveletet állítsa be ace-ként.
  • -ownr: Adja meg a megbízott (felhasználó vagy csoport) nevét vagy SID azonosítóját ebben a formátumban – pl. "n:Administrators"

(Az objektumok, típusok és támogatott műveletek teljes listáját lásd a SetACL dokumentációban.)

A tulajdonjog módosítására és a teljes irányítási jogosultság megadására íme néhány példa:

Példák: Egyetlen fájl vagy mappa tulajdonjogának módosítása:

setacl.exe -on c:\windows\notepad.exe -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller"setacl.exe -on c:\windows\notepad.exe -ot file -actn setowner -ownr "n:Administrators"setacl.exe -on c:\windows\notepad.exe -ot file -actn setowner -ownr "n:John"setacl.exe -on "d:\test" -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller"setacl.exe -on "d:\test" -ot file -actn setowner -ownr "n:Administrators"setacl.exe -on "d:\test" -ot file -actn setowner -ownr "n:John"

Példák: Tulajdonjog rekurzív módon történő módosítása:

1. lehetőség: Egy mappa és almappái (nem fájlok) tulajdonjogának rekurzív módon történő beállításához használja az alábbi példák egyikét:

setacl.exe -on d:\test -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller" -rec contsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Administrators" -rec contsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Ramesh" -rec cont
  • -rec – a rekurzió engedélyezve van.
  • cont – Rekurzív, és csak könyvtárakat dolgoz fel.

2. lehetőség: Egy mappa és almappái (nem mappák) fájljainak tulajdonjogának rekurzív beállításához használja a következő példák egyikét:

setacl.exe -on d:\test -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller" -rec objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Administrators" -rec objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Ramesh" -rec obj
  • -rec – a rekurzió engedélyezve.
  • obj – Rekurzív, és csak a fájlokat dolgozza fel.

3. lehetőség: Egy mappa, annak almappái és a fájlok tulajdonjogának rekurzív beállításához használja az alábbi példák egyikét:

setacl.exe -on d:\test -ot file -actn setowner -ownr "n:NT Service\TrustedInstaller" -rec cont_objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Administrators" -rec cont_objsetacl.exe -on d:\test -ot file -actn setowner -ownr "n:Ramesh" -rec cont_obj
  • -rec – a rekurzió engedélyezett.
  • cont_obj – Rekurzív, és a könyvtárak és fájlok feldolgozása.

Példák: A szükséges engedélyek hozzárendelése egy fájlhoz vagy mappához:

Mihelyt megvan a tulajdonjog, hozzárendelheti a szükséges engedélyeket egy objektumhoz. Íme néhány példa:

Egyetlen fájl vagy mappa engedélyeinek hozzárendeléséhez használja az alábbi példák egyikét:

setacl.exe -on "d:\test\sample.xlsx" -ot file -actn ace -ace "n:Administrators;p:full"setacl.exe -on "d:\test\sample.xlsx" -ot file -actn ace -ace "n:John;p:full"setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full"setacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full"

Példák: A szükséges engedélyek rekurzív módon történő kiosztása:

1. lehetőség: Egy mappához és almappákhoz (nem fájlokhoz) rekurzív módon, használja az alábbi példák egyikét:

setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full" -rec contsetacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full" -rec cont
  • -rec – a rekurzió engedélyezve van.
  • cont – Rekurzív, és csak könyvtárakat dolgoz fel.

2. lehetőség: Egy mappában és almappákban (nem mappákban) lévő fájlokra rekurzívan, használja az alábbi példák egyikét:

setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full" -rec objsetacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full" -rec obj
  • -rec – a rekurzió engedélyezve van.
  • obj – Rekurzív, és csak a fájlokat dolgozza fel.

3. lehetőség: Egy mappára, annak almappáira és a fájlokra rekurzívan használja a következő példák egyikét:

setacl.exe -on "d:\test" -ot file -actn ace -ace "n:Administrators;p:full" -rec cont_objsetacl.exe -on "d:\test" -ot file -actn ace -ace "n:John;p:full" -rec cont_obj
  • -rec – a rekurzió engedélyezve.
  • cont_obj – rekurzió, és a könyvtárak és fájlok feldolgozása.

A SetACL hivatalos dokumentációjában megismerheti a teljes képességeit. A fájlok és mappák tulajdonosi & jogosultságainak beállításához azonban a takeown.exe és az icacls.exe a legtöbb felhasználó számára bőven elegendő.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.