Vraag de experts

Windows File System-problemen Waarom krijg ik toegang geweigerd?

Windows File System-problemen Waarom krijg ik toegang geweigerd? / Vraag de experts

Sinds het NTFS-bestandssysteem Van FAT naar NTFS naar ZFS: Bestandssystemen van VET Demystified naar NTFS naar ZFS: bestandssystemen gedemystificeerd Verschillende harde schijven en besturingssystemen kunnen verschillende bestandssystemen gebruiken. Dit is wat dat betekent en wat je moet weten. Read More werd geïntroduceerd als de standaardindeling in consumentenversies van Windows (te beginnen met Windows XP), mensen hebben problemen gehad met de toegang tot hun gegevens op zowel interne als externe stations. Niet langer zijn eenvoudige bestandskenmerken de enige oorzaak van problemen bij het vinden en gebruiken van hun bestanden. Nu hebben we te maken met bestands- en mapmachtigingen, zoals een van onze lezers ontdekte.

De vraag van onze lezer:

Ik kan geen mappen zien op mijn interne harde schijf. Ik heb het commando uitgevoerd “attrib -h -r-s / s / d” en het toont toegang geweigerd op elke map. Ik kan naar mappen gaan met de opdracht Uitvoeren, maar ik kan geen mappen zien op mijn harde schijf. Hoe los ik dit op?

Bruce's Antwoord:

Hier zijn enkele veilige aannames op basis van de informatie die we hebben gekregen: Het besturingssysteem is Windows XP of hoger; het bestandssysteem dat wordt gebruikt, is NTFS; de gebruiker heeft geen volledige controle-machtigingen voor het gedeelte van het bestandssysteem dat ze proberen te manipuleren; ze bevinden zich niet in de Administrator-context; en de standaardmachtigingen voor het bestandssysteem zijn mogelijk gewijzigd.

Alles in Windows is een object, of het nu een registersleutel, een printer of een bestand is. Hoewel ze dezelfde mechanismen gebruiken om gebruikerstoegang te definiëren, beperken we onze discussie tot bestandssysteemobjecten om het zo eenvoudig mogelijk te houden.

Toegangscontrole

Beveiliging Red Alert: 10 Beveiligingsblogs van de computer Moet u vandaag volgen Red Alert: 10 Beveiligingsblogs over computerbeveiliging Moet u vandaag volgen Beveiliging is een cruciaal onderdeel van computing en u moet ernaar streven uzelf te informeren en op de hoogte te blijven. Je zult deze tien beveiligingsblogs en de beveiligingsexperts die ze schrijven willen bekijken. Meer lezen van om het even welk soort heeft alles te maken met controleren wie kan iets doen op het object dat wordt beveiligd. Wie heeft de sleutelkaart om de poort te openen om de verbinding te betreden? Wie heeft de sleutels om het kantoor van de CEO te openen? Wie heeft de combinatie om de kluis in hun kantoor te openen?

Hetzelfde type denken is van toepassing op de beveiliging van bestanden en mappen op NTFS-bestandssystemen. Elke gebruiker op het systeem heeft geen gerechtvaardigde behoefte om toegang te krijgen tot elk bestand op het systeem, noch hebben ze allemaal dezelfde toegang tot deze bestanden nodig. Net zoals elke medewerker in een bedrijf geen toegang hoeft te hebben tot de kluis in het kantoor van de CEO, of de mogelijkheid om bedrijfsrapporten te wijzigen, hoewel ze deze mogen lezen.

machtigingen

Windows beheert de toegang tot bestandssysteemobjecten (bestanden en mappen) door machtigingen in te stellen voor gebruikers of groepen. Deze geven aan wat voor soort toegang de gebruiker of groep heeft tot het object. Deze machtigingen kunnen op beide worden ingesteld toestaan of ontkennen een specifiek type toegang en kan expliciet op het object worden ingesteld, of impliciet via overerving vanuit de bovenliggende map.

De standaardrechten voor bestanden zijn: Volledig beheer, Wijzigen, Lezen & Uitvoeren, Lezen, Schrijven en Speciaal. Mappen hebben nog een speciale machtiging, List List Contents. Deze standaardrechten zijn vooraf gedefinieerde sets van geavanceerde rechten die meer gedetailleerde controle mogelijk maken, maar normaal gesproken niet nodig zijn buiten de standaardmachtigingen.

Bijvoorbeeld de Lezen en uitvoeren standaard toestemming omvat de volgende geavanceerde rechten:

  • Traverse Folder / Execute File
  • Map weergeven / gegevens lezen
  • Attributen lezen
  • Uitgebreide kenmerken lezen
  • Lees rechten

Toegangscontrolelijsten

Elk object in het bestandssysteem heeft een bijbehorende toegangscontrolelijst (ACL). De ACL is een lijst met beveiligings-id's (SID's) met machtigingen voor het object. Het Local Security Authority Subsystem (LSASS) vergelijkt de SID die is gekoppeld aan het toegangstoken dat aan de gebruiker is verstrekt bij het inloggen op de SID's in de ACL voor het object waartoe de gebruiker toegang probeert te krijgen. Als de SID van de gebruiker niet overeenkomt met een van de SID's in de ACL, wordt toegang geweigerd. Als het wel overeenkomt, wordt de aangevraagde toegang verleend of geweigerd op basis van de machtigingen voor die SID.

Er is ook een evaluatieorder voor machtigingen die moeten worden overwogen. Expliciete machtigingen hebben voorrang op impliciete machtigingen en machtigingen weigeren hebben voorrang op machtigingen. In volgorde ziet het er als volgt uit:

  1. Expliciet Weigeren
  2. Expliciet toestaan
  3. Impliciet Weigeren
  4. Impliciet toestaan

Standaard hoofddirectory-machtigingen

De machtigingen die worden verleend in de hoofdmap van een schijfeenheid, variëren enigszins, afhankelijk van of de schijf het systeemstation is of niet. Zoals te zien is in de onderstaande afbeelding, heeft een systeemstation twee afzonderlijke Toestaan vermeldingen voor geverifieerde gebruikers. Er is een die geauthenticeerde gebruikers toestaat om mappen te maken en gegevens toe te voegen aan bestaande bestanden, maar niet om bestaande gegevens in het bestand te wijzigen die alleen van toepassing zijn op de hoofdmap. Met de andere kunnen geverifieerde gebruikers bestanden en mappen in submappen wijzigen, als die submap machtigingen van de root overneemt.

De systeemdirectory's (Windows, programmagegevens, programmabestanden, programmabestanden (x86), gebruikers of documenten & instellingen en mogelijk anderen) nemen hun machtigingen niet over van de hoofdmap. Omdat het systeemmappen zijn, zijn hun machtigingen expliciet ingesteld om onbedoelde of kwaadwillende wijziging van besturingssysteem-, programma- en configuratiebestanden door malware of een hacker te voorkomen.

Als het geen systeemstation is, is het enige verschil dat de groep Geverifieerde gebruikers één machtiging heeft voor het toestaan ​​van het wijzigen van machtigingen voor de hoofdmap, submappen en bestanden. Alle machtigingen die zijn toegewezen voor de 3 groepen en de SYSTEM-account worden overgenomen door het station.

Probleemanalyse

Toen onze poster de attrib commando probeert alle systeem-, verborgen en alleen-lezen attributen te verwijderen van alle bestanden en mappen beginnend bij de (niet-gespecificeerde) map waarin ze zich bevonden, ze ontvingen berichten die aangeven dat de actie die ze wilden uitvoeren (Schrijf attributen) werd geweigerd. Afhankelijk van de map waarin ze zich bevonden toen ze de opdracht uitvoerden, is dit waarschijnlijk een goede zaak, vooral als ze in C: \.

In plaats van te proberen die opdracht uit te voeren, was het beter om gewoon de instellingen in Windows Verkenner / Verkenner te veranderen om verborgen bestanden en mappen te tonen. Dit kan eenvoudig worden bereikt door naar Organiseren> Map- en zoekopties in Windows Verkenner of Bestand> Map en zoekopties wijzigen in Verkenner. Selecteer in het resulterende dialoogvenster de Tabblad Weergave> Verborgen bestanden, mappen en stations weergeven. Met deze ingeschakelde, verborgen mappen en bestanden zou verschijnen als dimmed items in de lijst.

Als op dit moment de bestanden en mappen nog steeds niet worden weergegeven, is er een probleem met de geavanceerde toegangsmachtiging Mapmap / Read Data. De gebruiker of een groep waartoe de gebruiker behoort, is uitdrukkelijk of stilzwijgend geweigerd dat toestemming op de mappen in kwestie, of de gebruiker behoort niet tot een van de groepen die toegang hebben tot die mappen.

U kunt zich afvragen hoe de lezer rechtstreeks naar een van deze mappen kan gaan als de gebruiker niet beschikt over de machtigingen Lijstmap / Lezen Gegevens. Zolang u het pad naar de map kent, kunt u ernaar toe gaan op voorwaarde dat u de geavanceerde machtigingen voor het verplaatsingsmappen / uitvoerbestand erop hebt. Dit is ook de reden dat het waarschijnlijk geen probleem is met de standaardvermeldingsvermelding Lijstmapinhoud. Het heeft beide van deze geavanceerde rechten.

De resolutie

Met uitzondering van systeemmappen, worden de meeste machtigingen in de keten overgenomen. Dus, de eerste stap is om de map te identificeren die zich het dichtst bij de root van de schijf bevindt, waar de symptomen naar boven komen. Zodra deze map zich bevindt, klikt u er met de rechtermuisknop op en selecteert u Eigenschappen> tabblad Beveiliging. Controleer de machtigingen voor elk van de vermelde groepen / gebruikers om te controleren of ze een vinkje hebben in de kolom Toestaan ​​voor de inhoudsmap List-map en niet in de kolom Weigeren.

Als geen van beide kolommen is aangevinkt, kijk dan ook naar het item Speciale machtigingen. Als dit is aangevinkt (toestaan ​​of weigeren), klikt u op gevorderd knop, dan Machtigingen wijzigen in het resulterende dialoogvenster als u Vista of later gebruikt. Dit zal een bijna identiek dialoogvenster openen met een paar extra knoppen. Selecteer de juiste groep, klik op Bewerk en zorg ervoor dat de map List / read data permissie is toegestaan.

Als de controles grijs worden weergegeven, betekent dit dat het een overgenomen toestemming, en het moet worden gewijzigd in de bovenliggende map, tenzij er een dwingende reden is om dit niet te doen, zoals het is de profielmap van een gebruiker en de bovenliggende map is de map Gebruikers of Documenten en instellingen. Het is ook onverstandig om rechten toe te voegen voor een tweede gebruiker om toegang te krijgen tot de profieldirectory van een andere gebruiker. Log in plaats daarvan in als die gebruiker om toegang te krijgen tot die bestanden en mappen. Als het iets is dat moet worden gedeeld, verplaatst u het naar de openbare profieldirectory of gebruikt u het tabblad Delen om andere gebruikers toegang te geven tot de bronnen.

Het is ook mogelijk dat de gebruiker geen toestemming heeft om de rechten van de betreffende bestanden of mappen te bewerken. In dat geval moet Windows Vista of later een User Account Control (UAC) voorstellen. Stop EROYING UAC-prompts - Hoe maak je een gebruikersaccountbeheer aan Whitelist [Windows] Stop irritante UAC-prompts - Hoe maak je een gebruikersaccountbeheer aan Whitelist [Windows] Ooit Sinds Vista zijn we Windows-gebruikers lastiggevallen, afgeluisterd, geërgerd en moe van de prompt Gebruikersaccountbeheer (UAC) die ons vertelt dat er een programma is gestart dat we met opzet hebben gelanceerd. Natuurlijk, het is verbeterd, ... Lees Meer prompt voor het beheerderswachtwoord of toestemming om de gebruikersrechten te verhogen om deze toegang toe te staan. Onder Windows XP moet de gebruiker Windows Verkenner openen met de optie Uitvoeren als ... en de Administrator-account gebruiken Windows Administrator-account: Alles wat u moet weten Windows Administrator-account: alles wat u moet weten Beginnen met Windows Vista, de ingebouwde Windows-beheerder account is standaard uitgeschakeld. U kunt het inschakelen, maar doe dit op eigen risico! We laten u zien hoe. Lees Meer om ervoor te zorgen dat de wijzigingen kunnen worden doorgevoerd, als ze nog niet worden uitgevoerd met een beheerdersaccount.

Ik weet dat veel mensen je gewoon zouden vertellen dat je eigenaar moet worden van de mappen en bestanden in kwestie, maar er is er een reusachtig voorbehoud voor die oplossing. Als het van invloed zou zijn op systeembestanden en / of directory's, wordt de algemene beveiliging van uw systeem ernstig verzwakt. Het zou moeten nooit worden gedaan in de hoofdmap, Windows, Gebruikers, Documenten & Instellingen, Programmabestanden, Programmabestanden (x86), Programmagegevens of inetpub-mappen of een van hun submappen.

Conclusie

Zoals u ziet, zijn permissies op NTFS-schijven niet al te moeilijk, maar het lokaliseren van de bron van toegangsproblemen kan vervelend zijn op systemen met veel mappen. Gewapend met een basiskennis van hoe machtigingen werken met toegangscontrolelijsten en een beetje vasthoudendheid, wordt het opsporen en oplossen van deze problemen binnenkort kinderspel.

Ontdek meer over: Bestandsbeheer, Bestandssysteem, NTFS.