Menyetel Ulang Lebar Disk Izin NTFS

11

Seseorang mengacaukan pengaturan izin pada drive NTFS dan saya mencari cara untuk mengatur ulang semua izin ke default. OS akan diinstal ulang tetapi saya mencoba untuk menyelamatkan data dari direktori pengguna mereka.

Tidak ada data yang dienkripsi pada level FS.

Adakah rekomendasi tentang bagaimana mencapainya?

Andrew Moore
sumber

Jawaban:

16

Jika Anda berbicara tentang disk yang tidak mengandung instalasi Windows, cukup gunakan utilitas "TAKEOWN" dan "ICACLS":

TAKEOWN /f "X:\" /r /d y
ICACLS "X:\" /reset /T

Kemudian Anda dapat mengatur ulang ACL ke apa pun yang Anda inginkan.

Jika itu adalah disk dengan sistem operasi Windows 2000, XP, atau Server 2003 diinstal (tidak tahu tentang Vista yang satu ini) Anda bisa mencoba menerapkan kembali templat keamanan default:

secedit /configure /db secedit.sdb /cfg %SystemRoot%\defltwk.inf /overwrite /verbose

(Pada instalasi Windows Server, gantikan "defltsv.inf" untuk "defltwk.inf".)

Evan Anderson
sumber
Anda mungkin ingin menambahkan opsi ini ke icalsperintah: /C(Lanjutkan pada kesalahan file) dan /Q(tekan pesan sukses). Pesan kesalahan masih akan ditampilkan.
mivk
1
Di Win7 x64, saya mendapat kesalahan saat mengutip drive. Dan untuk icacls, saya tidak dapat menentukan drive secara langsung. Jadi saya harus menggunakan takeown /F X:\ /R /D Ydan icacls X:\* /reset /T.
mivk
Microsoft tampaknya telah berubah pikiran tentang utilitas secedit (dan keamanan) setidaknya untuk tugas ini. Metode ini sebenarnya sangat ringan menyentuh apa pun AFAICT (banyak kunci registri, tetapi sedikit folder sistem, mungkin yang utama Windows). Jadi pada akhirnya, satu-satunya cara terpercaya yang saya tahu adalah membandingkan ACL dengan sistem tepercaya lainnya.
mirh
2

Sebagai alternatif untuk takeown dan * cacls, Anda dapat menggunakan SetACL untuk mengambil alih kepemilikan setiap file dan direktori pada drive dan kemudian mengatur izin yang diinginkan.

Mengatur pemilik seluruh pohon ke administrator dan mengaktifkan warisan pada objek anak :

SetACL.exe -on "C:\" -ot file -actn setprot -op "dacl:np;sacl:nc" 
           -rec cont_obj -actn setowner -ownr "n:S-1-5-32-544;s:y"

Menambahkan izin penuh untuk administrator:

SetACL.exe -on "C:\" -ot file -actn ace -ace "n:S-1-5-32-544;s:y;p:full"
Helge Klein
sumber
0

Saya tidak yakin hal seperti itu ada. Yang mengatakan, kecuali Anda pencitraan sistem, OS dapat diinstal ulang tanpa menghapus data pengguna, yang juga akan memperbaiki izin pada folder terkait OS. Bergantung pada jenis sistem apa ini dan apa yang tersedia, masukkan drive ke sistem lain dan tarik data pengguna lalu lakukan pembersihan dan instal ulang.

Jeff Hengesbach
sumber
0

Saya belum pernah mendengar apa pun yang akan "mengatur ulang" izin untuk semuanya kembali ke papan kosong, kecuali jika "kembalikan dari cadangan" diperhitungkan.

Bahkan jika itu terjadi, perlu cara untuk mengetahui tentang siapa yang memiliki file apa, serta izin registri dan informasi ID lainnya. Kemungkinannya akan kacau dan Anda akan memiliki sistem yang akan bertindak aneh pada waktu acak, kecuali jika program tersebut memiliki gambaran tentang keadaan mesin saat pertama kali dipasang ... dalam hal ini sama saja sebagai cadangan. Anda akan berpotensi mengubah izin dan ID (ID keamanan) hanya dengan menambahkan pengguna dan menginstal OS di tempat pertama pada mesin karena Windows memiliki hal-hal tertentu di ACL yang khusus untuk instalasi.

Taruhan terbaik Anda adalah mencadangkan data pengguna dan menghapus disk dan menginstal ulang sebelum menyalin data pengguna kembali ke folder yang tepat, lalu buat gambar cadangan sistem.

Ini adalah salah satu situasi di mana RAID tidak akan membantu tetapi cadangan yang baik (ada beberapa admin awal yang tampaknya berpikir RAID adalah cadangan; dalam situasi ini tidak akan membantu!)

Bart Silverstrim
sumber
Meskipun saya setuju bahwa Anda tidak dapat mengembalikan pengaturan keamanan khusus, Anda dapat menerapkan kembali template keamanan default dan kembali ke keamanan default-OS.
Evan Anderson
Tidakkah menggunakan itu berpotensi menimbulkan masalah jika ia memiliki keamanan khusus melalui aplikasi? Untuk beberapa alasan saya menghindarinya karena itu dapat menyebabkan perilaku tak terduga di jalan ... atau apakah ini membaik?
Bart Silverstrim
Jika Anda telah memodifikasi keamanan dari standar untuk mengakomodasi beberapa perangkat lunak Anda harus memodifikasinya lagi setelah Anda kembali ke default. Untuk pikiran saya yang harus "diharapkan" perilaku. Jika Anda mengubah sesuatu dari default, dan kemudian mengubahnya kembali ke default, itu kembali ke default lagi.
Evan Anderson
0

Saya tidak melihat cara untuk mengembalikan semuanya ke cara mereka menggunakan hanya satu kotak, tetapi jika Anda memiliki yang kedua tersedia, baik sebagai pengganti atau area pementasan sementara (bahkan PC dengan HD yang lumayan akan melakukan untuk temp staging), inilah salah satu solusinya. Mungkin ada jalan pintas yang bisa Anda ambil di sini, tapi saya lebih suka cara yang lambat dan teliti karena kurang rentan terhadap kesalahan manusia.

Mari kita asumsikan bahwa Server A adalah yang memiliki izin kacau, dan Server B adalah pengganti atau area pementasan sementara.

  • Kembalikan dari cadangan baik terakhir ke Server B (memastikan bahwa Anda memilih opsi untuk memulihkan keamanan saat melakukannya).
  • Di Server A, tentukan apakah Anda dapat mengakses data atau tidak.
    • Jika tidak, Ambil Kepemilikan segalanya, baik melalui GUI atau baris perintah.
    • Tetapkan apakah Anda dapat mengakses data sekarang atau tidak.
    • Jika tidak, beri diri Anda Kontrol Penuh.
  • Salin data dari Server A ke Server B menggunakan xcopy / S / E / C / H / R / K / Y. Jangan gunakan / O karena itu akan menimpa ACL Anda yang dipulihkan.
  • Jika itu server pengganti, Anda sudah selesai. Jika tidak, setelah membangun kembali Server A, salin kembali ke sana dari Server B, kali ini menggunakan xcopy / S / E / C / H / R / K / O / Y (catatan / 0 ada di sini saat ini).
  • Berbicaralah dengan orang yang melakukannya. Kelelawar bisbol dan ancaman untuk mencabut hak admin mereka mungkin atau mungkin tidak opsional, tergantung pada bagaimana perasaan Anda.
Maximus Minimus
sumber