Memperbaiki "Daftar kontrol akses ini tidak dalam bentuk kanonik" kesalahan dari baris perintah

Pada beberapa workstation pengembang kami, kami telah mendapatkan yang ditakuti "Daftar kontrol akses ini tidak dalam bentuk kanonik dan karena itu tidak dapat dimodifikasi." kesalahan saat kami mencoba dan mengatur izin pada folder tertentu. Kami belum dapat menemukan apa yang merusak ACL ini.

Saat ini, satu-satunya cara saya tahu untuk memperbaikinya adalah dengan mengklik kanan folder / file yang rusak, pilih Properties dan klik tab Security. Windows kemudian akan melihat korupsi dan menawarkan untuk memperbaikinya. Saya tidak suka ini karena ini manual dan mengharuskan pengguna untuk melakukan investigasi untuk mengetahui folder / file apa yang rusak.

Apakah ada skrip atau program di suatu tempat yang akan melakukan ini secara otomatis? Saya melihat bahwa icaclsmemiliki /verifyparameter, tetapi itu hanya menunjukkan kepada saya bahwa ACL pada file / folder rusak. Itu tidak menawarkan untuk memperbaiki apa pun.

Anda bisa mencoba menggunakan skrip PowerShell sederhana untuk menimpa file currupt acl dengan acl file lain: get-acl path_to_file_with_known_good_acl | set-acl -path path_to_corrupt_file

Saya akhirnya dapat menemukan perbaikan otomatis untuk ini. Ketika Anda memanggil Set-Aclcmdlet PowerShell , itu akan memesan ulang ACL dengan benar:

$path = C:\Path\To\Item\With\Borked\ACL
$acl = Get-Acl $path
Set-Acl $path $acl

Tentu saja, ini bisa menjadi induk dari direktori yang kacau, jadi Anda harus melakukan beberapa lintasan untuk menemukan pelakunya. Gunakan icacls C:\Path\To\Item\With\Suspect\CL /verifyuntuk mencari tahu apakah ada sesuatu yang perlu diperbaiki.

Di lingkungan kita, Cygwin adalah penyebabnya: ketika membuat direktori, ia suka memberikan izin gaya POSIX pada mereka, alih-alih mengandalkan Windows untuk mengelola keamanan sistem file.

Bagi saya ada masalah ganda: ACL + aturan kan-kanonik non-kanonik dideklarasikan untuk NULL SID (WTH?). Saya menyarankan itu disebabkan oleh versi cygwin dari git.

Bagaimanapun, dalam kasus saya menerapkan kembali ACL yang sama tidak masuk akal:

> Set-Acl $f.FullName (Get-Acl $f.FullName)
> (Get-Acl $f.FullName).AreAccessRulesCanonical
False
> (Get-Acl $f.FullName).GetAccessRules($True, $False, [System.Security.Principal.NTAccount]) | ? {$_.Identityeference.Value -eq "NULL SID" }
FileSystemRights  : WriteExtendedAttributes, ExecuteFile, DeleteSubdirectoriesAndFiles, ReadPermissions
AccessControlType : Deny
IdentityReference : NULL SID
IsInherited       : False
InheritanceFlags  : None
PropagationFlags  : None

Jadi saya harus secara eksplisit menerapkan ACL dari file yang memiliki yang benar, seperti yang disebutkan oleh @mschneider

icacls juga dapat memperbaikinya:

c:\> accesschk -q FILE
Error: FILE has a non-canonical DACL:
   Explicit Deny after Explicit Allow

c:\> icacls FILE /t /q /c /reset
Successfully processed 1 files; Failed processing 0 files

c:\> accesschk -q FILE
.. OK

Perintah praktis lainnya, setara dengan chmod 0777 FILE, chown root FILE

  icacls  FILE /t /q /c /grant    :r Everyone:F
  icacls  FILE /t /q /c /grant    :r Everyone:F /inheritance:r
  icacls  FILE /t /q /c /setowner Administrators

Masalah ini muncul saat menggunakan Cygwin. Ia mencoba untuk meniru izin file POSIX di atas ACL Windows. Ini sering mengarah pada ACL non-kanonik, yang legal tetapi tidak dapat ditangani dengan benar oleh explorer.exe .

Anda dapat mematikan emulasi yang bermasalah ini dengan memasang dengan opsi "noacl", misalnya di /etc/fstab:

none /cygdrive cygdrive binary,noacl,posix=0,user 0 0

1. Di IIS klik kanan folder dengan masalah
2. Edit Izin ...
3. Pilih tab Keamanan
4. Klik tombol 'Edit' dan simpan (ini tampaknya memesan ulang acl)
5. Konfirmasikan semua Munculan