Ответы Mail
Программирование
Android
C/C++
C#
iOS
Java
JavaScript
jQuery
SQL
Perl
PHP
Python
Веб-дизайн
Верстка, CSS, HTML, SVG
Системное администрирование
Другие языки и технологии
Лидеры категории
Лена-пена
М.И.
Y.Nine
•••
Искусственный Интеллект
Искусственный Интеллект
Искусственный Интеллект
Какой смысл в группах, если NTFS все равно требует установеки отдельных личных прав в режиме одобрения администратором?
Алексей Молодов
(12651),
на голосовании
1 день назад
Считается, что новый режим контроля пользователей более совершенный. Однако он не даёт пользоваться группами для огранизации доступа к накопителям! Или требование "получите постоянный личные права для доступа к папке" совйственно лишь "проводнику", а не самой логике безопасности NTFS?
Голосование за лучший ответ
Лайт Ягами
(309335)
1 месяц назад
Сейчас проверил, всё нормально работает, создал папку, отменил наследование и выдал доступ только одной группе. Члены группы получили к ней доступ, не-члены не получили.
А что, что при отсутствии прав доступа выдаётся запрос на получение личных прав - это от Проводника, сделано для удобства пользователя, но не означает, что пользователь может при помощи этого интерфейса получить доступ без одобрения админа.
А что, что при отсутствии прав доступа выдаётся запрос на получение личных прав - это от Проводника, сделано для удобства пользователя, но не означает, что пользователь может при помощи этого интерфейса получить доступ без одобрения админа.
Алексей МолодовМудрец (12651)
1 месяц назад
Попробуй создать папку для группы "администраторы" и зайти в неё. Если ты в этой группе, проводник сначала скажет что ты не имееш доступа к это папке, потом спросит, хочеш ли ты получить к ней постоянный доступ. Ответ - всего два варианта: Да - и в NTFS безопасность папки добаваляются твои права явно, либо "отмена" - и тогда ты в папку не поадаеш. Таким образом после Win 7 весь смысл групп поставлен с ного на голову
Лайт Ягами
Искусственный Интеллект
(309335)
Алексей Молодов, а это уже особенность UAC - токен группы Администраторы у процессов, запущенных администраторами на среднем уровне целостности, отключён)
Алексей МолодовМудрец (12651)
1 месяц назад
Вот пример
Я член группы "операторы архива". Доступа нет. Варианты Да - и тогда проводник переустановит отдельные права для меня в свойствах безопасности паки. Либо Нет - и я вобще не попадаю в паку. ВОПРОС: какой смысл в группе "операторы архива" в этом случае?
Я член группы "операторы архива". Доступа нет. Варианты Да - и тогда проводник переустановит отдельные права для меня в свойствах безопасности паки. Либо Нет - и я вобще не попадаю в паку. ВОПРОС: какой смысл в группе "операторы архива" в этом случае?
Лайт Ягами
Искусственный Интеллект
(309335)
Алексей Молодов, смысл группы Операторы Архива в том, что эта группа может включить SeBackupPrivilege и SeRestorePrivilege для процесса (естественно, запущенного с повышенными правами). Токен тоже по умолчанию не доступен на среднем уровне. И да, тут есть некая путаница - в интерфейсе пункт всё называется "Запустить от имени администратора", но при этом процесс не получает токен Администратора, а только токен Оператора Архива.
С проводником не пробуйте, он всячески сопротивляется запуску на повышенном уровне, попробуйте на Тотал Командере или командной строке.
А вообще эта группа не для интерактивного доступа к файлам и папкам предназначена, а для выполнения соответствующего софта с нужными привилегиями, к примеру, команда Robocopy с флагом /B умеет копировать папки и файлы в обход ACL.
Алексей МолодовМудрец (12651)
1 месяц назад
Нажал дополнительно и далее, чтобы посмотреть разрешения
Алексей МолодовМудрец (12651)
1 месяц назад
Оказывается, этих прав недостаточно, хотя я пренадлежу группе "операторы архива"
Алексей МолодовМудрец (12651)
1 месяц назад
А вот что получаяется, если в самом начале выбрать "ПРОДОЛЖИТЬ" а затем открыть свойства:
Проводник установил права для меня (ДЛ) явным образом
Какого чёрта!??? Какой смысл тогда во встренных группах, если их нельзя применять вместе с UAC!
Просто всё объясмняется: это Микросопт и издержки рыночной коньюктуры, которая зхаставляет производителей выкидывать на рынок сырые и непродуманные технологии. Но меня бесит другое. То, что все это воспринимают как норму
Проводник установил права для меня (ДЛ) явным образомКакого чёрта!??? Какой смысл тогда во встренных группах, если их нельзя применять вместе с UAC!
Просто всё объясмняется: это Микросопт и издержки рыночной коньюктуры, которая зхаставляет производителей выкидывать на рынок сырые и непродуманные технологии. Но меня бесит другое. То, что все это воспринимают как норму
Лайт Ягами
Искусственный Интеллект
(309335)
Алексей Молодов, ну и да, просто так дать процессу привилегии и заставить его читать любые файлы не получится, программа должна при открытии файлов явно указывать флаг FILE_FLAG_BACKUP_SEMANTICS, чтобы магия работала. Потому это предназначено не для обычных юзеров, а только для специального софта, который умеет с этой привилегией правильно работать.
Редис Александрович
(79312)
1 месяц назад
Смысл в группах, что бы отдельно каждому права не назначать
Алексей МолодовМудрец (12651)
1 месяц назад
Ну зайди в папку, которой даны права только для группы "администраторы", будучи состоящим в этой группе. Тебе проводник скажет: либо ты хочеш получить персанальные права и сейчас я их зделаю, либо иди нахер
Редис Александрович
Оракул
(79312)
Алексей Молодов, у виндовс бывают конечно проблемы, но не настолько. На такой случай надо делать аудит и перечитывать права, ну и перезагружать хоть иногда компуктер. Или у тебя виндовс 98 которая не переустанавливалась 15 лет?
Похожие вопросы