Bagaimana cara saya memberi administrator akses ke folder tanpa merusak izin saat ini?

12

Saya memiliki folder yang tidak dapat saya akses dari akun yang merupakan bagian dari grup Administrators di windows 7.

Jika saya membuka tab Keamanan di properti, saya melihat "Anda tidak memiliki izin untuk melihat atau mengedit pengaturan izin objek ini".

Jika saya mengeklik lanjutan dan membuka tab pemilik, ini memberi tahu saya bahwa "Tidak dapat menampilkan pemilik saat ini."

Saya bisa mendapatkan akses ke folder dengan menetapkan ulang kepemilikan, tetapi ini merusak izin saat ini pada folder.

Jadi, adakah cara memberikan admin akses ke folder tanpa mengambil kendali dan menghancurkan izin saat ini.

Nigel Hawkins
sumber
Mengambil kepemilikan tidak (atau setidaknya, tidak seharusnya) menghancurkan izin saat ini pada folder. (Saya baru saja mencoba ini dan berfungsi seperti yang diharapkan - izin tidak berubah.) Untuk berada di sisi yang aman, Anda mungkin lebih suka menggunakan alat baris perintah, takeown, bukan alat GUI. Alat ini pasti tidak akan mengubah izin.
Harry Johnston
Nah, setelah mengambil kepemilikan, saya tidak bisa melihat permisi apa pun kecuali untuk akun yang baru saja mengambil kepemilikan. Folder lain tampaknya berperilaku baik. Saya kira itu mungkin bahwa folder itu dibuat tanpa izin untuk siapa pun atau memiliki mereka dilucuti tetapi tampaknya aneh.
Nigel Hawkins
Proses mengambil kepemilikan seharusnya tidak mengubah izin sama sekali, bahkan dengan menambahkan akun Anda. Apakah Anda menggunakan alat baris perintah takeown atau dialog Pengaturan Keamanan Lanjutan Explorer?
Harry Johnston
Mencoba keduanya. Seperti yang saya katakan, folder lain tampaknya berperilaku baik ketika pemilik diubah. Saya sampai pada kesimpulan bahwa itu pasti tidak memiliki izin bagi siapa pun untuk memulai. Jadi sepertinya itu telah menghapus semua izin lama ketika saya mengambil kepemilikan.
Nigel Hawkins

Jawaban:

12

Beberapa penggalian yang cermat mengungkapkan bahwa mengambil kepemilikan terkadang menghancurkan izin yang ada dan terkadang tidak. Itu semua tampaknya tergantung pada apakah Anda mencoba dan melakukannya secara rekursif . Perhatikan bahwa Windows memperingatkan Anda saat akan mengganti izin yang ada, tetapi (setidaknya dalam GUI), sangat mudah untuk hanya menyetujui pesan tanpa membaca atau memahaminya sepenuhnya.

Untuk melihatnya, Anda memerlukan direktori (c: \ SomeFolder dalam contoh ini) yang dimiliki oleh akun pengguna yang berbeda dan Anda dan grup administrator tidak memiliki akses nol.

Garis komando

Menggunakan alat baris perintah "takeown":

TAKEOWN / A / R / F c: \ SomeFolder

Anda harus melihat sesuatu seperti

SUKSES: File (atau folder) "c: \ SomeFolder" sekarang dimiliki oleh grup administrator.

Anda tidak memiliki izin untuk membaca isi direktori "c: \ SomeFolder"

Apakah Anda ingin mengganti izin direktori dengan izin yang memberi Anda kendali penuh ("Y" untuk YA, "N" untuk TIDAK, "C" untuk BATAL)?

Perhatikan bahwa jika Anda menjawab ya di sini, itu benar-benar berarti mengganti izin. Izin apa pun yang ada akan dihancurkan. Jika Anda menjawab tidak, Anda masih tidak memiliki izin pada folder tersebut tetapi sekarang adalah pemiliknya sehingga dapat memberikan izin kepada diri Anda secara normal dan tanpa merusak yang sudah ada.

Jika Anda tidak menentukan bendera rekursif (/ R), Anda tidak mendapatkan peringatan dan pemiliknya diubah tanpa mempengaruhi izin lainnya.

GUI

Anda harus menggunakan tab "keamanan" dari jendela properti untuk mengubah apa pun melalui GUI. Ini memberi Anda dua tombol: "lanjutkan" dan "maju". Advanced memberi Anda jendela dengan empat tab: "izin", "audit", "pemilik", dan "izin efektif". Lanjutkan hanya memberi Anda tab "pemilik".

Jika Anda memilih pemilik baru dan mencentang kotak "berlaku untuk sub-folder", menekan OK atau menerapkan memberi Anda kotak pesan "Apakah Anda ingin mengganti izin" yang, sekali lagi, benar-benar berarti mengganti izin. Jika Anda tidak mencentang kotak sub-folder, Anda tidak mendapatkan peringatan dan semuanya berlaku seperti yang diharapkan.

Sangat mudah untuk tidak membaca kotak pesan ini sepenuhnya, anggap itu hanya kotak lain yang meminta Anda untuk mengkonfirmasi sesuatu yang tidak merusak dan tekan enter untuk OK itu. Juga sangat mudah untuk mengasumsikan bahwa mereka tidak mungkin benar - benar berarti menggantikan karena tidak ada orang waras yang mau melakukan itu.

Nigel Hawkins
sumber
3

Jika Anda tidak terdaftar sebagai "dapat membaca / mengubah izin" di ACL folder, Anda tidak dapat mengubahnya, tidak peduli siapa atau apa Anda. Semua Pengguna, Administrator, Builtin, bahkan nt authority\system, diperlakukan sama oleh kode keamanan. (Hak istimewa "Ambil kepemilikan" di seluruh sistem merupakan pengecualian, tetapi ACL juga tidak dapat memodifikasi, hanya setel ulang.)

Anda harus login sebagai seseorang yang yang diizinkan untuk melakukan hal ini, baik secara langsung (username + password) atau - jika Anda memiliki banyak waktu luang - dengan melakukan beberapa SeCreateTokenPrivilege sihir .

pengguna1686
sumber
Bisakah saya menambahkan izin itu ke grup administrator?
Nigel Hawkins
2
Itu tidak benar. Pemilik file selalu dapat membaca dan memodifikasi izin, dan mengambil kepemilikan tidak mengubah izin itu sendiri.
Harry Johnston
1
Juga, perhatikan bahwa program yang berjalan sebagai administrator dapat membaca izin dan kepemilikan file apa pun dengan menggunakan hak cadangan. MS hanya belum menyediakan program apa pun untuk melakukan ini. :-(
Harry Johnston
1
Oh, dan Anda juga dapat menggunakan hak pemulihan untuk mengubah izin dan kepemilikan.
Harry Johnston
1
@grawity: Saya baru saja mengulangi percobaan (menggunakan ACL yang tidak memberi saya izin) dan ACL tidak diatur ulang ketika saya mengambil kepemilikan. Apakah Anda yakin tidak memikirkan dialog "Klik Lanjutkan untuk secara permanen mendapatkan akses ke folder ini", yang bertentangan dengan dialog Pemilik tab keamanan?
Harry Johnston
0

Tidak masalah menggunakan kotak centang "Ganti pemilik pada subkontainer dan objek" yang disorot dengan warna hijau. Tidaklah layak untuk menggugat kotak centang "Ganti semua izin objek anak" yang disorot dengan warna merah. Yang terakhir akan menggantikan ACL yang ada (izin) daripada hanya mengubah pemilik. Kotak Dialog Keamanan NTFS

Iconiu
sumber
Saya berasumsi bahwa ini adalah dialog Windows 10? Versi Windows 7 tidak memiliki kotak centang itu.
Nigel Hawkins