Копирование с сохранением прав ntfs windows

В файловой системе NTFS каждый объект  (файл или папка) имеет свой список контроля доступа (Access Control List, ACL), в котором содержится информация о том, кто (или что) имеет доступ к объекту и какие операции разрешено (или запрещено) этому субъекту проводить над объектом. А что происходит с ACL при копировании или перемещении объекта? Попробуем это выяснить …

В качестве подопытного возьмем папку Temp в корне диска C.  Откроем свойства папки и посмотрим ее разрешения. Как видите, в списке доступа есть только группа локальных администраторов и пользователь kirill (то есть я :)).

Теперь возьмем нашу папку.

И помощью Проводника скопируем ее на компьютер SRV1, также в корень диска C.

Если посмотреть разрешения скопированной папки, то мы увидим, что они полностью изменились.

Для того чтобы понять, откуда взялись новые разрешения, пройдем в  дополнительные параметры безопасности папки (кнопка Advanced). Как видно из рисунка, все разрешения папки Temp унаследованы от диска С.

В этой ситуации нет ничего удивительного. По умолчанию разрешения NTFS сохраняются только при копированииперемещении в пределах одного логического диска, или тома. Если же объект перемещается на другой диск того же (или другого) компьютера, то все разрешения заменяются наследуемыми от родительского объекта, которым в нашем случае и является диск C компьютера SRV1.

В нашем случае скопирована всего лишь одна папка с несколькими файлами, поэтому при необходимости восстановить утерянные разрешения несложно. А если подобное случиться при переносе серьезного файлового ресурса с высоким уровнем вложенности и сложной структурой разрешений NTFS, заданных вручную ?

К сожалению, проводник Windows не умеет копировать разрешения файловой системы, для этого нам придется воспользоваться альтернативными средствами.

Утилита Icacls

Эта утилита специально предназначена для работы с ACL. В числе прочего она может сохранить список доступа указанного объекта в файл, а затем применить этот список к указанному объекту.

Открываем командную консоль и сохраняем ACL исходного каталога Temp со всем его содержимым (подкаталоги и файлы) в файл tempACL командой:

Icacls C:Temp* /save tempACL /t

По умолчанию утилита сохраняет файл в профиле пользователя — C:UsersИмя_пользователя. Это обычный текстовый файл, который при желании можно открыть в Блокноте.

Перенесем созданный файл tempACL на SRV1 и восстановим из него ACL каталога Temp командой:

Icacls C:temp /restore C:tempACL

Затем еще раз посмотрим разрешения скопированой папки Temp и увидим, что справедливость восторжествовала 🙂 и исходные разрешения восстановлены.

Утилита Xcopy

Xcopy является продвинутым вариантом команды Copy  и в отличие от нее умеет работать с сетевыми путями, а также копировать сведения о владельце и данные ACL объекта.

В нашем случае для того, чтобы скопировать каталог Temp на SRV1 с сохранением списков доступа воспользуемся командой:

Xcopy C:Temp \SRV1C$Temp /E /O 

Total Commander

Те, кто боится не любит работать в командной строке, могут воспользоваться файловым менеджером стороннего производителя, например  Total Commander. В нем при копированиипереносе есть возможность скопировать разрешения NTFS, просто отметив галочкой чекбокс «Copy NTFS permissions».

И в завершение один важный момент, который учитывать при перемещении файловых ресурсов — разрешения NTFS можно свободно переносить только в пределах одного домена или леса доменов. Если к примеру скопировать папку со списком доступа на компьютер, не входящий в домен, то получим интересную ситуацию: ACL перенесен, но в локальной базе учетных записей нет такого пользователя. В этом случае при просмотре разрешений мы увидим примерно такую картину:

Для управления NTFS разрешениями в Windows можно использовать встроенную утилиту iCACLS. Утилита командной строки icacls.exe позволяет получить или изменить списки управления доступом (ACL — Access Control Lists) на файлы и папки на файловой системе NTFS. В этой статье мы рассмотрим полезные команды управления ntfs разрешениями в Windows с помощью icacls.

Просмотр и изменения NTFS прав на папки и файлы с помощью icacls

Текущие права доступа к любому объекту на NTFS томе можно вывести так:

icacls 'C:ShareVeteran'

Команда вернет список пользователей и групп, которым назначены права доступа. Права указываются с помощью сокращений:

• F – полный доступ
• M – изменение
• RX – чтение и выполнение
• R – только чтение
• W – запись
• D – удаление

Перед правами доступа указаны права наследования (применяются только к каталогам):

• (OI)— наследование объектами
• (CI)— наследование контейнерами
• (IO)— только наследование
• (I)– разрешение унаследовано от родительского объекта

С помощью icacls вы можете изменить права доступа на папку.

Чтобы предоставить группе fs01_Auditors домена resource права чтения и выполнения (RX) на каталог, выполните:

icacls 'C:ShareVeteran' /grant resourcefs01_Auditors:RX

Чтобы удалить группу из ACL каталога:

icacls 'C:ShareVeteran' /remove resourcefs01_Auditors

С помощью icacls вы можете включить наследование NTFS прав с родительского каталога:

icacls 'C:ShareVeteran' /inheritance:e

Или отключить наследование с удалением всех наследованных ACEs:

icacls 'C:ShareVeteran' /inheritance:r

Также icacls можно использовать, чтобы изменить владельца файла или каталога:

icacls 'C:ShareVeteran' /setowner resourcea.ivanov /T /C /L /Q

Бэкап (экспорт) текущих NTFS разрешений каталога

Перед существенным изменением разрешений (переносе, обновлении ACL, миграции ресурсов) на NTFS папке (общей сетевой папке) желательно создать резервную копию старых разрешений. Данная копия позволит вам вернуться к исходным настройкам или хотя бы уточнить старые права доступа на конкретный файл/каталог.

Для экспорта/импорта текущих NTFS разрешений каталога вы также можете использовать утилиту icacls. Чтобы получить все ACL для конкретной папки (в том числе вложенных каталогов и файлов), и экспортировать их в текстовый файл, нужно выполнить команду

icacls 'C:ShareVeteran' /save c:psveteran_ntfs_perms.txt /t /c

Примечание. Ключ /t указывает, что нужно получить ACL для всех дочерних подкаталогов и файлов, ключ /c – позволяет игнорировать ошибки доступа. Добавив ключ /q можно отключить вывод на экран информации об успешных действиях при доступе к объектам файловой системы.

В зависимости от количества файлов и папок, процесс экспорта разрешений может занять довольно продолжительное время. После окончания выполнения команды отобразится статистика о количестве обработанных и пропущенных файлов.

Successfully processed 3001 files; Failed processing 0 files

Откройте файл veteran_ntfs_perms.txt с помощью любого текстового редактора. Как вы видите, он содержит полный список папок и файлов в каталоге, и для каждого указаны текущие разрешения в формате SDDL (Security Descriptor Definition Language).

К примеру, текущие NTFS разрешения на корень папки такие:

D:PAI(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;0x1200a9;;;S-1-5-21-2340243621-32346796122-2349433313-23777994)(A;OICI;0x1301bf;;;S-1-5-21-2340243621-32346796122-2349433313-23777993)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-2340243621-32346796122-2349433313-24109193)S:AI

Данная строка описывает доступ для нескольких групп или пользователей. Мы не будем подробно углубляться в SDDL синтаксис (при желании справку по нему можно найти на MSDN, или вкратце формат рассматривался в статье об управлении правами на службы Windows). Мы для примера разберем небольшой кусок SDDL, выбрав только одного субъекта:

(A;OICI;FA;;;S-1-5-21-2340243621-32346796122-2349433313-24109193)

A – тип доступа (Allow)

OICI – флаг наследования (OBJECT INHERIT+ CONTAINER INHERIT)

FA – тип разрешения (SDDL_FILE_ALL – все разрешено)

S-1-5-21-2340243621-32346796122-2349433313-24109193 – SID учетной записи или группы в домене, для которой заданы разрешения. Чтобы преобразовать SID в имя учетной записи или группы, воспользуйтесь командой:

$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-21-2340243621-32346796122-2349433313-24109193")
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])


$objUser.Value

Или командами:

Get-ADUser -Identity SID

или

Get-ADGroup -Identity SID

Таким образом, мы узнали, что пользователь corpdvivan обладал полными правами (Full Control) на данный каталог.

Восстановление NTFS разрешений с помощью iCacls

С помощью ранее созданного файла veteran_ntfs_perms.txt вы можете восстановить NTFS разрешения на каталог. Чтобы задать NTFS права на объекты в каталоге в соответствии со значениями в файле с резервной копией ACL, выполните команду:

icacls C:share /restore c:PSveteran_ntfs_perms.txt /t /c

Примечание. Обратите внимание, что при импорте разрешений из файла указывается путь к родительской папке, но не имя самого каталога.

По окончанию восстановления разрешений также отобразится статистика о количестве обработанных файлов:

Successfully processed 114 files; Failed processing 0 files

С учетом того, что в резервной копии ACL указываются относительные, а не абсолютные пути к файлам, вы можете восстановить разрешения в каталоге даже после его перемещения на другой диск/каталог.

Сброс NTFS разрешений в Windows

С помощью утилиты icacls вы можете сбросить текущие разрешения на указанный файл или каталог (и любые вложенные объекты):

icacls C:shareveteran /reset /T /Q /C /RESET

Данная команда включит для указанного объекта наследование NTFS разрешений с родительского каталога, и удалит любые другие права.

Копирование NTFS прав между папками

Вы можете использовать текстовый файл с резервной копией ACL для копирования NTFS разрешений с одного каталога на другой/

Сначала создайте бэкап NTFS разрешений корня папки:

icacls 'C:ShareVeteran' /save c:pssave_ntfs_perms.txt /c

А замет примените сохраненные ACL к целевой папке:

icacls e:share /restore c:pssave_ntfs_perms.txt /c

Это сработает, если исходная и целевая папка называются одинаково. А что делать, если имя целевой папки отличается? Например, вам нужно скопировать NTFS разрешения на каталог E:PublicDOCS

Проще всего открыть файл save_ntfs_perms.txt в блокноте и отредактировать имя каталога. С помощью функции Replace замените имя каталога Veteran на PublicDOCS.

Затем импортируйте NTFS разрешения из файла и примените их к целевому каталогу:

icacls e: /restore c:pssave_ntfs_perms.txt /c

• #1

В файловой системе NTFS каждый объект (файл или папка) имеет свой список контроля доступа (Access Control List, ACL), в котором содержится информация о том, кто (или что) имеет доступ к объекту и какие операции разрешено (или запрещено) этому субъекту проводить над объектом. А что происходит с ACL при копировании или перемещении объекта? Попробуем это выяснить …

В качестве подопытного возьмем папку Temp в корне диска C. Откроем свойства папки и посмотрим ее разрешения. Как видите, в списке доступа есть только группа локальных администраторов и пользователь kirill (то есть я ).

Теперь возьмем нашу папку.

И помощью Проводника скопируем ее на компьютер SRV1, также в корень диска C.

Если посмотреть разрешения скопированной папки, то мы увидим, что они полностью изменились.

Для того чтобы понять, откуда взялись новые разрешения, пройдем в дополнительные параметры безопасности папки (кнопка Advanced). Как видно из рисунка, все разрешения папки Temp унаследованы от диска С.

В этой ситуации нет ничего удивительного. По умолчанию разрешения NTFS сохраняются только при копированииперемещении в пределах одного логического диска, или тома. Если же объект перемещается на другой диск того же (или другого) компьютера, то все разрешения заменяются наследуемыми от родительского объекта, которым в нашем случае и является диск C компьютера SRV1.

В нашем случае скопирована всего лишь одна папка с несколькими файлами, поэтому при необходимости восстановить утерянные разрешения несложно. А если подобное случиться при переносе серьезного файлового ресурса с высоким уровнем вложенности и сложной структурой разрешений NTFS, заданных вручную ?

К сожалению, проводник Windows не умеет копировать разрешения файловой системы, для этого нам придется воспользоваться альтернативными средствами.

Последнее редактирование: 10 Мар 2014

• #2

Утилита Icacls

Эта утилита специально предназначена для работы с ACL. В числе прочего она может сохранить список доступа указанного объекта в файл, а затем применить этот список к указанному объекту.
Открываем командную консоль и сохраняем ACL исходного каталога Temp со всем его содержимым (подкаталоги и файлы) в файл tempACL командой:

Icacls C:Temp* /save tempACL /t

По умолчанию утилита сохраняет файл в профиле пользователя — C:UsersИмя_пользователя. Это обычный текстовый файл, который при желании можно открыть в Блокноте.

Перенесем созданный файл tempACL на SRV1 и восстановим из него ACL каталога Temp командой:

Icacls C:temp /restore C:tempACL

Затем еще раз посмотрим разрешения скопированой папки Temp и увидим, что справедливость восторжествовала и исходные разрешения восстановлены.

• #3

Утилита Xcopy

Xcopy является продвинутым вариантом команды Copy и в отличие от нее умеет работать с сетевыми путями, а также копировать сведения о владельце и данные ACL объекта.
В нашем случае для того, чтобы скопировать каталог Temp на SRV1 с сохранением списков доступа воспользуемся командой:

Xcopy C:Temp \SRV1C$Temp /E /O

• #4

Total Commander

Те, кто боится не любит работать в командной строке, могут воспользоваться файловым менеджером стороннего производителя, например

Total Commander

. В нем при копированиипереносе есть возможность скопировать разрешения NTFS, просто отметив галочкой чекбокс «Copy NTFS permissions».

И в завершение один важный момент, который учитывать при перемещении файловых ресурсов — разрешения NTFS можно свободно переносить только в пределах одного домена или леса доменов. Если к примеру скопировать папку со списком доступа на компьютер, не входящий в домен, то получим интересную ситуацию: ACL перенесен, но в локальной базе учетных записей нет такого пользователя. В этом случае при просмотре разрешений мы увидим примерно такую картину:

• #5

Как быть с разрешениями для реестра?
Или хотя бы получить список назначенных прав?

• #7

Dragokas, Давно интересовал этот вопрос. Спасибо.
Какие могут быть последствия, как это сказывается на безопасности системы или работоспособности файлов ? (ну вот только что скачал с ресурсов http://safezone.cc/resources/mbam-clean.79/ в Мои документы — можешь прокоментировать ?)

• 

  security.png

  39.9 KB
  · Просмотры: 78

• 

  resource-sz.png

  42 KB
  · Просмотры: 81

Последнее редактирование: 10 Мар 2014

• #8

Ни когда не испытывал особых проблем из-за изменения прав при копировании.
А вот из-за сохранения прав проблемы были часто.
К примеру уволился сотрудник. Берёшь его «Мои документы» и перекидываешь другому сотруднику, который принял у него дела.
А новый сотрудник только через неделю сообщает, что не может открыть эти документы. И приходится выправлять права, чтобы человек смог работать с тем что лежит в его собственных «Моих документах».

Когда есть возможно работать с GUI я бы пользовался Total Commander.
А из командной строки я бы использовал winrar, благо он умеет сохранять и права и даже файловые потоки NTFS.

можешь прокоментировать ?

Вижу только один случай когда перенос прав между компьютерами может причинить вред.
Это когда при обратном копировании восстанавливаются права у пользователя, которому эти права понизили в целях безопасности.
В остальных случаях наличие прав у несуществующих пользователей на файл ни как не отражается на безопасности.Больше всего проблем с правами доставляет Microsoft Office. Если открыть в Excel файл который лежит в сетевой папке, то он автоматически становится личным файлом последнего человека, который работал с этим файлом. Каждый раз приходится выправлять права, чтобы у всех хватало прав на работу с этим файлом.

Что делать, если нам необходимо скопировать или переместить папку с файлами на другой компьютер или даже просто на другой локальный диск того же компьютера, но при этом необходимо сохранить все разрешения NTFS, которые были назначены для этих файлов или папок.

Ведь по умолчанию разрешения NTFS сохраняются только при копировании или перемещении только в пределах одного логического диска, или тома. Если же наш объект перемещается на другой диск того же компьютера или на другой компьютер, то все разрешения заменяются разрешениями, которые наследуются от родительского объекта (того диска или компьютера) на который происходит копирование.

К нашему сожалению, встроенный проводник Windows не умеет копировать разрешения файловой системы и поэтому для получения нужного результата нам придется воспользоваться альтернативными средствами.

Утилита Xcopy.

Утилита Xcopy является серьезно улучшенным вариантом команды Copy и, в отличие от простой команды Copy, она умеет работать с сетевыми путями, а также, что самое главное для нас, умеет копировать сведения о владельце и данные об NTFS разрешениях.

Например, для того, чтобы скопировать каталог ToCopy на компьютер SERVER2 с сохранением всех разрешений воспользуемся командой:

Xcopy C:RoCopy SERVER2C$Temp /E /O

Файловый менеджер Total Commander.

Если нам не очень привычна командная строка, есть другой метод. Можно воспользоваться файловым менеджером Total Commander. В нем при копировании или переносе файлов и папок есть возможность скопировать разрешения NTFS. Для этого нам нужно просто поставить галочку в чекбоксе «Copy NTFS permissions».

Специализированная утилита Icacls.

Эта утилита специально предназначена для работы с ACL (Access Control List или список контроля доступа, в котором содержится информация о том, кто имеет доступ к объекту и что ему с ним можно делать, именно так называются все разрешения NTFS). Эта утилита может сохранить список доступа указанного объекта в файл, а затем применить этот список к указанному объекту.

Сохраняем ACL исходного каталога ToCopy со всем его содержимым в файл ToCopyACL командой:

Icacls C:ToCopy* /save ToCopyACL /t

По умолчанию эта утилита сохраняет список в обыкновенный текстовый файл в папке профиля пользователя (C:UsersИмя_пользователя).

Переносим созданный файл ToCopyACL на SERVER2 и восстановим из него ACL каталога ToCopy командой:

Icacls C:ToCopy /restore C:ToCopyACL

И последний немаловажный момент – все разрешения NTFS можно переносить только в пределах одного домена или леса доменов.

1. Копирование и перемещение файлов и папок

Копирование и перемещение папок и файлов
на томах NTFS может повлиять на исходные
разрешения для папки или файла. На этом
занятии Вы узнаете, что происходит с
разрешениями при копировании или
перемещении файла или папки.

1. Копирование папки или файла

При копировании на тот же или на другой
том NTFS файл или папка наследуют разрешения
папки-адресата, а пользователь, выполняющий
копирование, становится владельцем
копии.

Ниже изображено, как Файл А наследует
от папки-адресата разрешение Change
(Изменение) несмотря на то, что оригинал
этого файла в папке-источнике имеет
лишь разрешение Read (Чтение). Пользователь
User6, скопировавший файл, становится
владельцем копии файла в папке-адресате.

1. Перемещение папки или файла

При перемещении в пределах одного тома
NTFS папки и файлы сохраняют свои
оригинальные разрешения и владельцев.
Однако если их перемещают на другой том
NTFS, то они наследуют разрешения
папки-адресата, а новым владельцем, как
и при копировании, становится пользователь,
переместивший папку или файл.

Ниже изображено, как Файл А сохраняет
разрешение Read (Чтение), так как он
перемещается в пределах одного тома.
Перемещает файл пользователь User6, но
владельцем перемещенного файла остается
пользователь User5.

1. Необходимые разрешения

Пользователь не может копировать или
перемещать папки или файлы на томах
NTFS, если он не имеет необходимых
разрешений.

Ниже описаны разрешения, необходимые
для копирования или перемещения папки
или файла в другую папку того же или
другого тома.

!!!При копировании или перемещении
файлов и папок на тома FAT они утрачивают
свои разрешения, так как разрешения
NTFS не поддерживаются на томах FAT.

1. Пример копирования и перемещения папок и файлов

Ниже изображена следующая ситуация.
Файл А находится в папке C:UsersMary. Группа
Users

(Пользователи) имеет следующие разрешения
NTFS для папок, расположенных на дисках
С и D:

• разрешение Read(Чтение) для папки
  C:UsersMary и содержащихся в ней файлов;

• разрешение Change(Изменение) для папки
  C:Public;

• разрешение Full Control(Полный контроль)
  для папки D:Data.

1. Какие
   разрешения будет иметь группа Users
   (Пользователи) для файла А после его
   копирования в папку C:Public ?

2. Какие
   разрешения будет иметь группа Users
   (Пользователи) для файла А после его
   перемещения в папку C:Public ?

3. Какие
   разрешения будет иметь группа Users
   (Пользователи) для файла А после его
   перемещения в папку D:Data ?

1. Резюме

• Папка или файл при копировании из одной
  папки в другую наследуют разрешения
  папки-адресата. Владельцем скопированного
  файла или папки становится пользователь,
  выполнивший копирование.

• При перемещении папки или файла в
  пределах одного тома NTFS первоначальные
  разрешения и владельцы не изменяются.
  Если же папка или файл перемещаются на
  другой том NTFS, действуют те же правила,
  что и при копировании.

• Чтобы скопировать папку или файл,
  пользователь должен иметь разрешение
  Add (Добавление) для папки-адресата. Чтобы
  переместить папку или файл, необходимы
  разрешение Add (Добавление) для
  папки-адресата и разрешение Delete
  (Удаление) для папки-источника.