-
-
October 29 2018, 19:31
- Компьютеры
- Cancel
19:31 29.10.2018
Сброс прав на файлы Windows 10
Сброс прав доступа и владельца файлов в Windows
При установке ОС Windows 7/8/10, до этого работавшего с другой операционной системой Windows, можно столкнуться с проблемой ограничения доступа ко множеству файлов на этом диске.
Обычно для решения этой проблемы предлагается смена владельца файлов (через графическое меню), после чего необходимо внести изменения прав доступа к отдельным папкам (через другое графическое меню). В принципе, метод работает, но иногда случаются ошибки в типа «Отказано в доступе».
Для таких случаев есть способ с использованием встроенной в систему утилиты icacls. Она позволяет рекурсивно сбросить права доступа на стандартные для указанного каталога и всего его содержимого. Для этого необходимо запустить командную строку cmd.exe с правами администратора и воспользоваться следующей командой:
icacls.exe «D:Недоступная_папка» /reset /T
Вместо D:Недоступная_папка следует указать путь к каталогу, где необходимо сбросить неверные старые разрешения.
Иногда перед запуском icacls может потребоваться утилита takeown, которая предназначена для смены владельца файлов:
takeown.exe /f «C:» /r /d y
icacls.exe «C:» /reset /T
После завершения работы утилиты все содержимое указанного каталога будет иметь стандартные права доступа вашей системы, он станет доступен для всех пользователей.
read more at Константин Лимонов
Для управления NTFS разрешениями в Windows можно использовать встроенную утилиту iCACLS. Утилита командной строки icacls.exe позволяет получить или изменить списки управления доступом (ACL — Access Control Lists) на файлы и папки на файловой системе NTFS. В этой статье мы рассмотрим полезные команды управления ntfs разрешениями в Windows с помощью icacls.
Содержание:
- Просмотр и изменения NTFS прав на папки и файлы с помощью icacls
- Бэкап (экспорт) текущих NTFS разрешений каталога
- Восстановление NTFS разрешений с помощью iCacls
- Сброс NTFS разрешений в Windows
- Копирование NTFS прав между папками
Просмотр и изменения NTFS прав на папки и файлы с помощью icacls
Текущие права доступа к любому объекту на NTFS томе можно вывести так:
icacls 'C:ShareVeteran'
Команда вернет список пользователей и групп, которым назначены права доступа. Права указываются с помощью сокращений:
- F – полный доступ
- M – изменение
- RX – чтение и выполнение
- R – только чтение
- W – запись
- D – удаление
Перед правами доступа указаны права наследования (применяются только к каталогам):
- (OI)— наследование объектами
- (CI)— наследование контейнерами
- (IO)— только наследование
- (I)– разрешение унаследовано от родительского объекта
С помощью icacls вы можете изменить права доступа на папку.
Чтобы предоставить группе fs01_Auditors домена resource права чтения и выполнения (RX) на каталог, выполните:
icacls 'C:ShareVeteran' /grant resourcefs01_Auditors:RX
Чтобы удалить группу из ACL каталога:
icacls 'C:ShareVeteran' /remove resourcefs01_Auditors
С помощью icacls вы можете включить наследование NTFS прав с родительского каталога:
icacls 'C:ShareVeteran' /inheritance:e
Или отключить наследование с удалением всех наследованных ACEs:
icacls 'C:ShareVeteran' /inheritance:r
Также icacls можно использовать, чтобы изменить владельца файла или каталога:
icacls 'C:ShareVeteran' /setowner resourcea.ivanov /T /C /L /Q
Бэкап (экспорт) текущих NTFS разрешений каталога
Перед существенным изменением разрешений (переносе, обновлении ACL, миграции ресурсов) на NTFS папке (общей сетевой папке) желательно создать резервную копию старых разрешений. Данная копия позволит вам вернуться к исходным настройкам или хотя бы уточнить старые права доступа на конкретный файл/каталог.
Для экспорта/импорта текущих NTFS разрешений каталога вы также можете использовать утилиту icacls. Чтобы получить все ACL для конкретной папки (в том числе вложенных каталогов и файлов), и экспортировать их в текстовый файл, нужно выполнить команду
icacls 'C:ShareVeteran' /save c:psveteran_ntfs_perms.txt /t /c
Примечание. Ключ /t указывает, что нужно получить ACL для всех дочерних подкаталогов и файлов, ключ /c – позволяет игнорировать ошибки доступа. Добавив ключ /q можно отключить вывод на экран информации об успешных действиях при доступе к объектам файловой системы.
В зависимости от количества файлов и папок, процесс экспорта разрешений может занять довольно продолжительное время. После окончания выполнения команды отобразится статистика о количестве обработанных и пропущенных файлов.
Successfully processed 3001 files; Failed processing 0 files
Откройте файл veteran_ntfs_perms.txt с помощью любого текстового редактора. Как вы видите, он содержит полный список папок и файлов в каталоге, и для каждого указаны текущие разрешения в формате SDDL (Security Descriptor Definition Language).
К примеру, текущие NTFS разрешения на корень папки такие:
D:PAI(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;0x1200a9;;;S-1-5-21-2340243621-32346796122-2349433313-23777994)(A;OICI;0x1301bf;;;S-1-5-21-2340243621-32346796122-2349433313-23777993)(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-2340243621-32346796122-2349433313-24109193)S:AI
Данная строка описывает доступ для нескольких групп или пользователей. Мы не будем подробно углубляться в SDDL синтаксис (при желании справку по нему можно найти на MSDN, или вкратце формат рассматривался в статье об управлении правами на службы Windows). Мы для примера разберем небольшой кусок SDDL, выбрав только одного субъекта:
(A;OICI;FA;;;S-1-5-21-2340243621-32346796122-2349433313-24109193)
A – тип доступа (Allow)
OICI – флаг наследования (OBJECT INHERIT+ CONTAINER INHERIT)
FA – тип разрешения (SDDL_FILE_ALL – все разрешено)
S-1-5-21-2340243621-32346796122-2349433313-24109193 – SID учетной записи или группы в домене, для которой заданы разрешения. Чтобы преобразовать SID в имя учетной записи или группы, воспользуйтесь командой:
$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-21-2340243621-32346796122-2349433313-24109193")
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$objUser.Value
Или командами:
Get-ADUser -Identity SID
или
Get-ADGroup -Identity SID
Таким образом, мы узнали, что пользователь corpdvivan обладал полными правами (Full Control) на данный каталог.
Восстановление NTFS разрешений с помощью iCacls
С помощью ранее созданного файла veteran_ntfs_perms.txt вы можете восстановить NTFS разрешения на каталог. Чтобы задать NTFS права на объекты в каталоге в соответствии со значениями в файле с резервной копией ACL, выполните команду:
icacls C:share /restore c:PSveteran_ntfs_perms.txt /t /c
Примечание. Обратите внимание, что при импорте разрешений из файла указывается путь к родительской папке, но не имя самого каталога.
По окончанию восстановления разрешений также отобразится статистика о количестве обработанных файлов:
Successfully processed 114 files; Failed processing 0 files
С учетом того, что в резервной копии ACL указываются относительные, а не абсолютные пути к файлам, вы можете восстановить разрешения в каталоге даже после его перемещения на другой диск/каталог.
Сброс NTFS разрешений в Windows
С помощью утилиты icacls вы можете сбросить текущие разрешения на указанный файл или каталог (и любые вложенные объекты):
icacls C:shareveteran /reset /T /Q /C /RESET
Данная команда включит для указанного объекта наследование NTFS разрешений с родительского каталога, и удалит любые другие права.
Копирование NTFS прав между папками
Вы можете использовать текстовый файл с резервной копией ACL для копирования NTFS разрешений с одного каталога на другой/
Сначала создайте бэкап NTFS разрешений корня папки:
icacls 'C:ShareVeteran' /save c:pssave_ntfs_perms.txt /c
А замет примените сохраненные ACL к целевой папке:
icacls e:share /restore c:pssave_ntfs_perms.txt /c
Это сработает, если исходная и целевая папка называются одинаково. А что делать, если имя целевой папки отличается? Например, вам нужно скопировать NTFS разрешения на каталог E:PublicDOCS
Проще всего открыть файл save_ntfs_perms.txt в блокноте и отредактировать имя каталога. С помощью функции Replace замените имя каталога Veteran на PublicDOCS.
Затем импортируйте NTFS разрешения из файла и примените их к целевому каталогу:
icacls e: /restore c:pssave_ntfs_perms.txt /c
Download PC Repair Tool to quickly find & fix Windows errors automatically
If you had to change the permissions of files and folders in Windows 11/10 for some reason, and if you want to reset the permissions to default, this post will help you. One of the users reported that he had to set the ownership and permissions to everyone and full control for a specific task, and now that it’s done, getting back to the default permission is difficult. Since the option is not built into the system, we will have to use the secedit and icacls commands to reconfigure.
Security is essential, and it is not just that other users can access the files, but programs you install on the computer also get the same access. The good news is that fixing the permissions to default is easy, and all you need is to run a command-line program to fix it. Before going ahead, create a system restore point, so in case things go wrong, you can restore.
- Run icacls command
- Run Secedit command
You will need admin permission to execute the commands.
1] Run icacls command
Another method to resolve this using the icacls command. However, you will need first to take ownership of the folder and then execute the command. Windows uses the Access Control List to configure permissions for all files and folders. Icacls is a command-line utility that can display and modify the permissions on specified files and apply them.
It comes with a reset option that replaces ACLs with default inherited ACLs for all matching files. We will use the following options to reset
- t—Operates on all specified files in the current directory and its subdirectories.
- q—Suppresses success messages.
- c—Continues the operation despite any file errors. Error messages will still be displayed.
Next, run the following on an elevated command prompt—
icacls * /t /q /c /reset
Once done, you must save the permission into a file that you can use again later or apply to other computers.
2] Run Secedit command
It allows you to configure and analyze system security by comparing the current config with a template.
Configures and analyzes system security by comparing your current security configuration against specified security templates.
Type CMD in the Run (Win +R) prompt and then press Shift + Enter to open it with admin permission
Execute the following command-
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
You may get some warning, but you can safely ignore it.
Changing permission on Windows is tricky because there is no way to switch back to default permission once you change it. It should have been there right from the start and let Windows users fix it themselves.
I hope these commands were useful and helped you reset file & folder permissions to default in Windows.
Ashish is a veteran Windows and Xbox user who excels in writing tips, tricks, and features on it to improve your day-to-day experience with your devices. He has been a Microsoft MVP (2008-2010).
Download PC Repair Tool to quickly find & fix Windows errors automatically
If you had to change the permissions of files and folders in Windows 11/10 for some reason, and if you want to reset the permissions to default, this post will help you. One of the users reported that he had to set the ownership and permissions to everyone and full control for a specific task, and now that it’s done, getting back to the default permission is difficult. Since the option is not built into the system, we will have to use the secedit and icacls commands to reconfigure.
Security is essential, and it is not just that other users can access the files, but programs you install on the computer also get the same access. The good news is that fixing the permissions to default is easy, and all you need is to run a command-line program to fix it. Before going ahead, create a system restore point, so in case things go wrong, you can restore.
- Run icacls command
- Run Secedit command
You will need admin permission to execute the commands.
1] Run icacls command
Another method to resolve this using the icacls command. However, you will need first to take ownership of the folder and then execute the command. Windows uses the Access Control List to configure permissions for all files and folders. Icacls is a command-line utility that can display and modify the permissions on specified files and apply them.
It comes with a reset option that replaces ACLs with default inherited ACLs for all matching files. We will use the following options to reset
- t—Operates on all specified files in the current directory and its subdirectories.
- q—Suppresses success messages.
- c—Continues the operation despite any file errors. Error messages will still be displayed.
Next, run the following on an elevated command prompt—
icacls * /t /q /c /reset
Once done, you must save the permission into a file that you can use again later or apply to other computers.
2] Run Secedit command
It allows you to configure and analyze system security by comparing the current config with a template.
Configures and analyzes system security by comparing your current security configuration against specified security templates.
Type CMD in the Run (Win +R) prompt and then press Shift + Enter to open it with admin permission
Execute the following command-
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
You may get some warning, but you can safely ignore it.
Changing permission on Windows is tricky because there is no way to switch back to default permission once you change it. It should have been there right from the start and let Windows users fix it themselves.
I hope these commands were useful and helped you reset file & folder permissions to default in Windows.
Ashish is a veteran Windows and Xbox user who excels in writing tips, tricks, and features on it to improve your day-to-day experience with your devices. He has been a Microsoft MVP (2008-2010).
Одной из типовых задач администратора Windows при настройке доступа пользователей – управление NTFS разрешениями на папки и файлы файловой системы. Для управления NTFS разрешениями можно использовать графический интерфейс системы (вкладка Безопасность/Security в свойствах папки или файла), или встроенную утилиту командной строки iCACLS. В этой статье мы рассмотрим примеру использовании команды iCACLS для просмотра и управления разрешениями на папки и файлы.
Утилита iCACLS позволяет отображать или изменять списки управления доступом (Access Control Lists (ACLs) к файлам и папкам файловой системы. Предшественником у утилиты iCACLS.EXE является команда CACLS.EXE (доступна в Windows XP).
Чтобы просмотреть действующие разрешения на конкретную папку (например, C:PS), откройте командную строку и выполните команду:
icacls c:PS
Данная команда вернет список всех пользователей и групп пользователей, которым назначены разрешения на данную папку. Попробуем разобраться в синтаксисе разрешений, которые вернула команда iCACLS.
c:PS BUILTINАдминистраторы:(I)(OI)(CI)(F)
NT AUTHORITYСИСТЕМА:(I)(OI)(CI)(F)
BUILTINПользователи:(I)(OI)(CI)(RX)
NT AUTHORITYПрошедшие проверку:(I)(M)
NT AUTHORITYПрошедшие проверку:(I)(OI)(CI)(IO)(M)
Успешно обработано 1 файлов; не удалось обработать 0 файлов 
Напротив каждой группы и пользователя указан уровень доступа. Права доступа указываются с помощью сокращений. Рассмотрим разрешения для группы BUILTINАдминистраторы.
(OI) - Object inherit – права наследуются на нижестоящие объекты
(CI) - Container inherit – наследование каталога
(F) – Full control– полный доступ к папке
(I) — Inherit права наследованы с вышестоящего каталога
Это означает, что у данной группы есть права на запись, изменение данных в данном каталоге и на изменения NTFS разрешений. Данные права наследуются на все дочерние объекты в этом каталоге.
Ниже представлен полный список разрешений, которые можно устанавливать с помощью утилиты icacls.
Права наследования:
(OI) — object inherit
(CI) — container inherit
(IO) — inherit only
(NP) — don’t propagate inherit
(I) — Permission inherited from parent container
Список основных прав доступа:
D — право удаления
F — полный доступ
N — нет доступа
M — доступ на изменение
RX — доступ на чтение и запуск
R — доступ только на чтение
W — доступ только на запись
Детальные разрешения:
DE — Delete
RC — read control
WDAC — write DAC
WO — write owner
S — synchronize
AS — access system security
MA — maximum allowed
GR — generic read
GW — generic write
GE — generic execute
GA — generic all
RD — read data/list directory
WD — write data/add file
AD — append data/add subdirectory
REA — read extended attributes
WEA — write extended attributes
X — execute/traverse
DC — delete child
RA — read attributes
WA — write attributes
С помощью утилиты icacls вы можете сохранить текущие списки доступа к объекту в файл, а затем применить сохраненный список к этому же или другим объектам (своеобразный способ создания резервной копии текущего списка доступа — ACL).
Чтобы выгрузить текущие ACL папки C:PS и сохранить их в текстовый файл export_ps_acl.txt, выполните команду:
icacls C:PS* /save c:backupexport_ps_acl.txt /t
Данная команда сохраняет ACLs не только на сам каталог, но и на все вложенные папки и файлы. Полученный текстовый файл можно открыть с помощью блокнота или любого текстового редактора.
Чтобы применить сохраненные списки доступа (восстановить разрешения на каталог и все вложенные объекты), выполните команду:
icacls C:PS /restore :backupexport_ps_acl.txt
Таким образом процесс переноса прав доступа с одной папки на другую становится намного легче.
С помощью команды icacls вы можете изменить списки доступа к папке. Например, вы хотите предоставить пользователю aivanov право на редактирование содержимого папки. Выполните команду:
icacls C:PS /grant aivanov:M
Удалить все назначенные разрешения для учетной записи пользователя aivanov можно с помощью команды:
icacls C:PS /remove aivanov
Вы можете запретить пользователю или группе пользователей доступ к файлу или папке так:
icacls c:ps /deny "MSKManagers:(CI)(M)"
Имейте в виду, что запрещающие правил имеют больший приоритете, чем разрешающие.
С помощью команды icacls вы можете изменить владельца каталог или папки, например:
icacls c:pssecret.docx /setowner aivanov /T /C /L /Q
Теперь разберемся, что это за параметры используются в каждой команде.
- /Q – сообщение об успешном выполнении команды не выводится;
- /L – команда выполняется непосредственно над символической ссылкой, а не конкретным объектом;
- /C – выполнение команды будет продолжаться несмотря на файловые ошибки; при этом сообщения об ошибках все равно будут отображаться;
- /T – команда используется для всех файлов и каталогов, которые расположены в указанном каталоге;
Вы можете изменить владельца всех файлов в каталоге:
icacls c:ps* /setowner aivanov /T /C /L /Q
Также при помощи icacls можно сбросить текущие разрешения на объекты,
icacls C:ps /T /Q /C /RESET
После выполнения команды все текущие разрешения на папку будут сброшены и заменены на разрешения, наследуемые с вышестоящего объекта (каталога).
При переустановке винды или установке в компьютер с ОС Windows винчестера, ранее работавшего с другой операционной системой Windows, можно столкнуться с проблемой ограничения доступа ко множеству файлов на этом диске. Это связано с особенностью работы файловой системы NTFS.
Классически, для решения этой проблемы предлагается смена владельца
файлов (через графическое меню), после чего необходимо внести изменения
прав доступа к отдельным папкам (через другое графическое меню). В
принципе, этот метод работает, но он неудобен – и иногда не все права
удается заменить сразу.
Оказывается, есть другой способ с использованием встроенной в систему утилиты icacls. Она позволяет рекурсивно сбросить права доступа на стандартные для указанного каталога и всего его содержимого. Для этого необходимо запустить командную строку cmd.exe или Power Shell с правами администратора и воспользоваться следующей командой:
|
icacls.exe «D:Мои рисунки» /reset /T |
Вместо «D:Мои рисунки» следует указать путь к каталогу, где необходимо сбросить старые разрешения.
В отдельных случаях перед запуском icacls может потребоваться утилита takeown:
|
takeown.exe /f «D:Мои рисунки» /r /d y icacls.exe «D:Мои рисунки» /reset /T |
После завершения работы утилиты все содержимое указанного каталога будет
иметь стандартные права доступа вашей системы, он станет доступен для
всех пользователей.
Запись опубликована в рубрике Администрирование с метками Windows.