Windows failu sistēmas problēmas: Kāpēc man tiek liegta piekļuve?

Reklāma

Kopš NTFS failu sistēma No taukiem līdz NTFS līdz ZFS: Demistificētas failu sistēmasDažādi cietie diski un operētājsistēmas var izmantot dažādas failu sistēmas. Lūk, ko tas nozīmē un kas jums jāzina. Lasīt vairāk tika ieviests kā noklusējuma formāts Windows patērētāju izdevumos (sākot ar Windows XP), cilvēkiem ir bijušas problēmas piekļūt saviem datiem gan iekšējā, gan iekšējā versijā ārējie diskdziņi. Vairs nav vienkārši failu atribūti, kas ir vienīgais problēmu iemesls, atrodot un izmantojot savus failus. Tagad mums jācīnās ar failu un mapju atļaujām, kā atklāja viens no mūsu lasītājiem.

Mūsu lasītāja jautājums:

Es neredzu mapes savā iekšējā cietajā diskā. Es izpildīju komandu “Attrib-h-r-s / s / d” un tas parāda piekļuvi, kas liegta katrai mapei. Es varu atvērt mapes, izmantojot komandu Palaist, bet cietajā diskā es neredzu mapes. Kā to novērst?

Brūsa atbilde:

Šeit ir daži droši pieņēmumi, pamatojoties uz mums sniegto informāciju: Operētājsistēma ir Windows XP vai jaunāka; izmantotā failu sistēma ir NTFS; lietotājam nav pilnīgas kontroles atļauju tajā failu sistēmas daļā, ar kuru viņi mēģina manipulēt; viņi neatrodas administratora kontekstā; iespējams, ir mainītas noklusējuma atļaujas failu sistēmā.

Viss operētājsistēmā Windows ir objekts neatkarīgi no tā, vai tā ir reģistra atslēga, printeris vai fails. Pat ja viņi izmanto tos pašus mehānismus, lai definētu lietotāju piekļuvi, mēs aprobežosimies ar diskusijām ar failu sistēmas objektiem, lai saglabātu to pēc iespējas vienkāršāk.

Piekļuves kontrole

Drošība Sarkanais brīdinājums: 10 datoru drošības emuāri, kas jums šodien būtu jāievēroDrošība ir būtiska datortehnikas sastāvdaļa, un jums jācenšas sevi izglītot un būt aktuālam. Jūs vēlēsities iepazīties ar šiem desmit drošības emuāriem un drošības ekspertiem, kuri tos raksta. Lasīt vairāk jebkura veida kontrole ir visa veida kas kaut ko var izdarīt uz nostiprināmā objekta. Kam ir atslēgas karte vārtu atbloķēšanai, lai ievadītu savienojumu? Kam ir atslēgas, lai atvērtu izpilddirektora biroju? Kam ir kombinācija, lai atvērtu seifu savā birojā?

Tas pats domāšanas veids attiecas uz failu un mapju drošību NTFS failu sistēmās. Katram sistēmas lietotājam nav pamatota vajadzība piekļūt visiem sistēmas failiem, kā arī visiem viņiem nav jābūt vienāda veida piekļuvei šiem failiem. Tāpat kā katram uzņēmuma darbiniekam nav jābūt piekļuvei seifam izpilddirektora birojā vai iespējai mainīt korporatīvos pārskatus, lai gan viņiem var atļaut tos lasīt.

Atļaujas

Windows kontrolē piekļuvi failu sistēmas objektiem (failiem un mapēm), iestatot atļaujas lietotājiem vai grupām. Tie norāda, kāda veida piekļuve lietotājam vai grupai ir objektam. Šīs atļaujas var iestatīt uz vienu vai otru Atļaut vai noliegt konkrētu piekļuves veidu, un to var vai nu tieši iestatīt objektam, vai netieši, izmantojot mantojumu no vecāku mapes.

Failu standarta atļaujas ir: Pilnīga vadība, Modificēt, Lasīt un izpildīt, Lasīt, Rakstīt un Īpašā. Mapēs ir vēl viena īpaša atļauja, ko sauc par mapju satura sarakstu. Šīs standarta atļaujas ir iepriekš noteiktas uzlabotas atļaujas kas ļauj veikt precīzāku kontroli, bet parasti nav vajadzīgas ārpus standarta atļaujām.

Piemēram, Lasīt un izpildīt standarta atļauja ietver šādas uzlabotās atļaujas:

• Pārvietot mapi / izpildīt failu
• Saraksta mape / lasīt datus
• Lasīt atribūtus
• Lasīt paplašinātos atribūtus
• Lasīt atļaujas

Piekļuves kontroles saraksti

Katram failu sistēmas objektam ir saistīts piekļuves kontroles saraksts (ACL). ACL ir to drošības identifikatoru (SID) saraksts, kuriem ir atļaujas objektam. Vietējās drošības iestādes apakšsistēma (LSASS) salīdzinās SID, kas pievienota piekļuves marķierim, kas lietotājam piešķirta pieteikšanās laikā, ar SID ACL objektā, kuram lietotājs mēģina piekļūt. Ja lietotāja SID neatbilst nevienam no ACL SID, piekļuve tiks liegta. Ja tas sakrīt, pieprasītā piekļuve tiks piešķirta vai atteikta, pamatojoties uz attiecīgā SID atļaujām.

Ir arī atļauju novērtēšanas kārtība, kas jāņem vērā. Skaidrām atļaujām ir prioritāte salīdzinājumā ar netiešām atļaujām, un liegt atļaujām ir prioritāte pār atļauju atļaujām. Kārtībā tas izskatās šādi:

1. Skaidrs noliegums
2. Precīzi atļaut
3. Netiešs noliegums
4. Netieša atļauja

Saknes direktorija noklusējuma atļaujas

Diska saknes direktorijā piešķirtās atļaujas nedaudz atšķiras, atkarībā no tā, vai diskdzinis ir vai nav sistēmas disks. Kā redzams attēlā zemāk, sistēmas piedziņai ir divi atsevišķi Atļaut ieraksti autentificētiem lietotājiem. Ir viena, kas ļauj autentificētiem lietotājiem izveidot mapes un pievienot datus esošajiem failiem, bet nemainīt failus esošos datus, kas attiecas tikai uz saknes direktoriju. Otrs ļauj autentificētiem lietotājiem modificēt apakšmapēs esošos failus un mapes, ja šī apakšmape manto atļaujas no saknes.

Sistēmas direktoriji (Windows, programmas dati, programmu faili, programmu faili (x86), lietotāji vai dokumenti un iestatījumi un, iespējams, citi) nepārmanto savas atļaujas no saknes direktorija. Tā kā tie ir sistēmas direktoriji, to atļaujas ir skaidri noteiktas, lai palīdzētu novērst netīšas vai ļaunprātīgas operētājsistēmas, programmu un konfigurācijas failu izmaiņas ar ļaunprātīgu programmatūru vai hakeris.

Ja tas nav sistēmas diskdzinis, vienīgā atšķirība ir tā, ka grupai Autentificētie lietotāji ir viens atļaujas ieraksts, kas ļauj mainīt atļaujas saknes mapei, apakšmapēm un failiem. Visas 3 grupām un SISTĒMAS kontam piešķirtās atļaujas tiek mantotas visā diskdzinī.

Problēmu analīze

Kad mūsu plakāts skrēja atribūts komanda, kas mēģina noņemt visus sistēmas, slēptos un tikai lasāmos atribūtus visiem failiem un mapēm, sākot ar (nenoteikts) direktorijs, kurā viņi atradās, viņi saņēma ziņojumus, kas norāda uz darbību, kuru viņi vēlējās veikt (Rakstīt atribūtus) tiek liegta. Atkarībā no direktorija, kurā viņi atradās, palaižot komandu, tā, iespējams, ir ļoti laba lieta, it īpaši, ja tie atrodas C: \.

Tā vietā, lai mēģinātu palaist šo komandu, būtu bijis labāk vienkārši mainīt iestatījumus pārlūkprogrammā Windows Explorer / File Explorer, lai parādītu slēptos failus un direktorijus. To var viegli izdarīt, dodoties uz Organizēt> Mape un meklēšanas iespējas pārlūkprogrammā Windows Explorer vai Fails> Mainīt mapi un meklēšanas iespējas failā Explorer. Rezultātā parādītajā dialoglodziņā atlasiet Cilne Skats> Rādīt slēptos failus, mapes un diskus. Ja šī opcija būs iespējota, slēptie direktoriji un faili sarakstā parādīsies kā blāvi vienumi.

Šajā brīdī, ja faili un mapes joprojām netiek rādīti, pastāv problēma ar saraksta mapes / lasīšanas datu papildu atļauju. Lietotājs vai grupa, kurai viņš pieder, ir tieši vai netieši noraidīja atļauju attiecīgajās mapēs, vai arī lietotājs nepieder nevienai no grupām, kurai ir piekļuve šīm mapēm.

Varat jautāt, kā lasītājs varētu tieši aiziet uz vienu no šīm mapēm, ja lietotājam nav atļaujas saraksta mapei / lasīšanas datiem. Kamēr jūs zināt ceļu uz mapi, varat doties uz to ar noteikumu, ka tajā ir uzlabotas piekļuves mapes / izpildīt faila faili. Tas ir arī iemesls, ka tā, visticamāk, nav problēma ar saraksta mapes satura standarta atļauju. Tam ir gan no šīm uzlabotajām atļaujām.

Rezolūcija

Izņemot sistēmas direktorijus, lielākā daļa atļauju tiek mantotas pa ķēdi. Tātad, pirmais solis ir identificēt direktoriju, kas ir vistuvāk diskdziņa saknei, kur atrodas simptomi. Kad šī direktorija atrodas, ar peles labo pogu noklikšķiniet uz tās un atlasiet Rekvizīti> cilne Drošība. Pārbaudiet atļaujas katrai no uzskaitītajām grupām / lietotājiem, lai pārliecinātos, vai slejā Atļaut ir atļauts pārbaudīt mapes Saraksta saturs atļauju, nevis slejā Liegt.

Ja neviena kolonna nav atzīmēta, apskatiet arī ierakstu Īpašās atļaujas. Ja tas ir atzīmēts (atļaujiet vai noraidiet), noklikšķiniet uz Advanced pogu Mainīt atļaujas parādītajā dialoglodziņā, ja izmantojat Vista vai jaunāku versiju. Tas parādīs gandrīz identisku dialoglodziņu ar dažām papildu pogām. Atlasiet atbilstošo grupu, noklikšķiniet uz Rediģēt un pārliecinieties, ka ir atļauta mape Sarakste / lasīt datus.

Ja čeki ir pelēkā krāsā, tas nozīmē, ka tas ir iedzimta atļauja, un tā mainīšana jāveic vecāku mapē, ja vien nav pārliecinoša iemesla to nedarīt, piemēram, tas ir lietotāja profila direktorijs, un vecāks ir Lietotāji vai Dokumenti un iestatījumi mape. Nav arī prātīgi pievienot atļaujas otrajam lietotājam, lai viņš varētu piekļūt cita lietotāja profilu direktorijai. Tā vietā piesakieties kā lietotājs, lai piekļūtu šiem failiem un mapēm. Ja tas ir kaut kas koplietojams, pārvietojiet tos uz publiskā profila direktoriju vai izmantojiet cilni Koplietošana, lai citiem lietotājiem ļautu piekļūt resursiem.

Ir arī iespējams, ka lietotājam nav atļaujas rediģēt attiecīgo failu vai direktoriju atļaujas. Tādā gadījumā Windows Vista vai jaunākai versijai vajadzētu uzrādīt a Lietotāja konta kontrole (UAC) Pārtrauciet kaitināt UAC uzvednes - kā izveidot lietotāja konta kontroles balto sarakstu [Windows]Kopš Vista, mēs, Windows lietotāji, esam apmulsuši, kļūdaini, nokaitināti un noguruši no lietotāja konta kontroles (UAC) uzvednes, kas stāsta, ka mums tiek palaista programma, kuru mēs apzināti sākām. Protams, tas ir uzlabojies, ... Lasīt vairāk tiek prasīta administratora parole vai atļauja paaugstināt lietotāja privilēģijas, lai atļautu šo piekļuvi. Operētājsistēmā Windows XP lietotājam vajadzētu atvērt Windows Explorer, izmantojot opciju Run as… un izmantot Administratora konts Windows administratora konts: viss, kas jums jāzinaSākot ar Windows Vista, iebūvētais Windows administratora konts pēc noklusējuma ir atspējots. Jūs varat to iespējot, bet dariet to uz savu risku! Mēs parādīsim jums kā. Lasīt vairāk lai nodrošinātu izmaiņu veikšanu, ja tās vēl nedarbojas ar administratīvo kontu.

Es zinu, ka daudzi cilvēki jums tikai pateiks, ka jāuzņemas atbildība par attiecīgajiem direktorijiem un failiem, bet tāds ir milzīgs brīdinājums par šo risinājumu. Ja tas ietekmēs visus sistēmas failus un / vai direktorijus, jūs nopietni vājināsit sistēmas vispārējo drošību. Tam vajadzētu nekad to var izdarīt saknes, Windows, Lietotāju, Dokumentu un iestatījumu, Programmu failu, Programmu failu (x86), Programmas datu vai inetpub direktoriju vai jebkuru no to apakšmapēm.

Secinājums

Kā redzat, NTFS diskdziņu atļaujas nav pārāk sarežģītas, taču piekļuves problēmu avota atrašana var būt apgrūtinoša sistēmās, kurās ir daudz direktoriju. Bruņojoties ar pamatzināšanu par to, kā atļaujas darbojas ar piekļuves kontroles sarakstiem, un ar nelielu izturību, šo problēmu atrašana un novēršana drīz kļūs par bērnu rotaļām.