Jelaskan output ICACLS.EXE, baris demi baris, item demi item

16

Apa artinya ini: 

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

Saya pikir yang pertama berarti bahwa userid akan memodifikasi hak akses pada direktori - yang berarti bahwa pengguna dapat membuat file, atau memperbarui file, atau menghapus file. Baik? Apa yang dimaksud dengan pengguna "NT AUTHORITY \ IUSR"? Apakah itu benar-benar satu ID pengguna? Apakah ini ID pengguna IIS default?

ok, baris kedua saya pikir mengacu pada grup. Ia mendapat izin yang sama.

Bagaimana dengan semua baris dengan (I) dan (OI) dan sebagainya. Tolong jelaskan.

windows  icacls 
Cheeso
sumber

Jawaban:

24

Dari Artikel Microsoft tentang ICACLS

Entri adalah pengguna dan grup khusus untuk file itu (DOMAIN \ USER atau GROUP), izin yang tercantum adalah sebagai berikut:

SID mungkin dalam bentuk nama numerik atau ramah. Jika Anda menggunakan bentuk angka, tambahkan karakter wildcard * ke awal SID.

icacls mempertahankan urutan kanonik entri ACE sebagai:

  • Penolakan eksplisit
  • Hibah eksplisit
  • Penyangkalan yang diwariskan
  • Hibah yang diwariskan

Perm adalah mask izin yang dapat ditentukan dalam salah satu bentuk berikut:

  1. Urutan hak-hak sederhana:
    • F (akses penuh)
    • M (ubah akses)
    • RX (baca dan jalankan akses)
    • R (akses hanya baca)
    • W (akses hanya tulis)
  2. Daftar yang dipisahkan koma dalam tanda kurung hak-hak khusus:
    • D (hapus)
    • RC (baca kontrol)
    • WDAC (tulis DAC)
    • WO (pemilik tulis)
    • S (sinkronkan)
    • AS (keamanan sistem akses)
    • MA (maksimum diizinkan)
    • GR (baca umum)
    • GW (tulis generik)
    • GE (eksekusi generik)
    • GA (umum semua)
    • RD (baca data / daftar direktori)
    • WD (tulis data / tambah file)
    • AD (tambahkan data / tambahkan subdirektori)
    • REA (baca atribut yang diperluas)
    • WEA (tulis atribut yang diperluas)
    • X (eksekusi / lintasi)
    • DC (hapus anak)
    • RA (baca atribut)
    • WA (tulis atribut)

Hak-hak waris dapat mendahului salah satu dari formulir Perm , dan mereka hanya diterapkan pada direktori:

  • (OI) : objek bawaan
  • (CI) : mewarisi wadah
  • (IO) : hanya warisan
  • (NP) : jangan menyebar warisan
  • (I) : izin yang diwarisi dari wadah induk

Untuk file, topeng izin kurang lebih jelas: Rberarti Anda dapat membaca file, Xmemungkinkan untuk dieksekusi (sebagai program), dan sebagainya.

Untuk jenis objek lain, Anda harus menelusuri MSDN:

Hak waris dalam bahasa Inggris:

  • (I) "Warisan": ACE ini diwarisi dari wadah induk.
  • (OI) "Object inherit": ACE ini akan diwarisi oleh objek yang ditempatkan dalam wadah ini.
  • (CI) "Container inherit": ACE ini akan diwarisi oleh subkontainer yang ditempatkan di wadah ini.
  • (IO)"Hanya warisan": ACE ini akan diwarisi (lihat OIdan CI), tetapi tidak berlaku untuk objek ini sendiri.
  • (NP)"Jangan menyebar": ACE ini akan diwarisi oleh objek dan subkontainer sedalam satu level - ini tidak akan berlaku untuk hal-hal di dalam subkontainer.

Untuk sistem file, "wadah" berarti folder dan "objek" berarti file, tetapi ingat bahwa ACL dapat diatur pada banyak jenis objek lainnya, tidak semuanya memiliki konsep "wadah".

MaQleod
sumber
1
Terima kasih. Saya google-melek dan saya bisa membaca. Tetapi saya ingin penjelasan dalam bahasa Inggris tentang apa artinya memiliki (I) RX. "container inherit" - jelaskan apa artinya dan khusus untuk contoh yang saya berikan.
Cheeso
Dalam hal ini, Anda akan memerlukan kursus kilat dalam izin NTFS.
surfasb
1
Jika Anda melek google, maka Anda dapat google "izin ntfs", "ACL" dan "File dan izin registri." Terus terang, untuk menjelaskan setiap baris dalam istilah awam pada dasarnya menulis ulang seluruh artikel Technet untuk Anda.
surfasb
3
Satu tahun kemudian ... Ya. Jauh lebih baik terima kasih. Adapun orang lain yang mengatakan: "Baca itu", itu gunanya Superuser, bukan? Untuk menjawab pertanyaan yang tidak dijawab dengan jelas di tempat lain.
Cheeso
1
Saya benar-benar menemukan (I)disebutkan icacls /?pada Windows 7. Ini juga memiliki dua hak "Hapus" yang terpisah - (D)sebelumnya ditampilkan dalam daftar pertama, dengan (DE)sebaliknya dalam daftar kedua. Lihat ss64.com/nt/icacls.html . Sepertinya hal-hal telah berubah sedikit sejak itu.
mwfearnley
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.