Problemen met Windows-bestandssysteem: waarom krijg ik toegang geweigerd?

Advertentie

Sinds de NTFS-bestandssysteem Van FAT naar NTFS naar ZFS: bestandssystemen ontrafeldVerschillende harde schijven en besturingssystemen kunnen verschillende bestandssystemen gebruiken. Dit is wat dat betekent en wat u moet weten. Lees verder werd geïntroduceerd als het standaardformaat in consumentenedities van Windows (beginnend met Windows XP), mensen hebben problemen gehad met het openen van hun gegevens op zowel interne als externe schijven. Eenvoudige bestandskenmerken zijn niet langer de enige oorzaak van problemen bij het vinden en gebruiken van hun bestanden. Nu hebben we te maken met machtigingen voor bestanden en mappen, zoals een van onze lezers ontdekte.

Onze lezersvraag:

Ik kan geen mappen zien op mijn interne harde schijf. Ik heb het commando uitgevoerd "Attrib -h -r -s / s / d" en het toont toegang geweigerd in elke map. Ik kan naar mappen gaan met de opdracht Uitvoeren, maar ik zie geen mappen op mijn harde schijf. Hoe los ik dit op?

Antwoord van Bruce:

Hier zijn enkele veilige aannames op basis van de informatie die we hebben gekregen: Het besturingssysteem is Windows XP of hoger; het gebruikte bestandssysteem is NTFS; de gebruiker heeft geen volledige controle-rechten op het gedeelte van het bestandssysteem dat ze proberen te manipuleren; ze bevinden zich niet in de beheerderscontext; en de standaardrechten op het bestandssysteem zijn mogelijk gewijzigd.

Alles in Windows is een object, of het nu een registersleutel, een printer of een bestand is. Hoewel ze dezelfde mechanismen gebruiken om gebruikerstoegang te definiëren, zullen we onze discussie beperken tot bestandssysteemobjecten om het zo eenvoudig mogelijk te houden.

Toegangscontrole

Veiligheid Red Alert: 10 computerbeveiligingsblogs die u vandaag zou moeten volgenBeveiliging is een cruciaal onderdeel van computergebruik en u moet ernaar streven uzelf op te leiden en up-to-date te blijven. Bekijk deze tien beveiligingsblogs en de beveiligingsexperts die ze schrijven. Lees verder van welke aard dan ook, gaat over controle wie kan iets doen op het object dat wordt beveiligd. Wie heeft de sleutelkaart om de poort te ontgrendelen om de compound te betreden? Wie heeft de sleutels om het kantoor van de CEO te openen? Wie heeft de combinatie om de kluis in hun kantoor te openen?

Dezelfde manier van denken is van toepassing op de beveiliging van bestanden en mappen op NTFS-bestandssystemen. Elke gebruiker op het systeem heeft geen gerechtvaardigde behoefte om toegang te krijgen tot elk bestand op het systeem, en ze hebben ook niet allemaal dezelfde soort toegang tot deze bestanden nodig. Net zoals elke werknemer in een bedrijf geen toegang hoeft te hebben tot de kluis in het kantoor van de CEO of de mogelijkheid heeft om bedrijfsrapporten aan te passen, hoewel ze deze wel mogen lezen.

Rechten

Windows beheert de toegang tot bestandssysteemobjecten (bestanden en mappen) door machtigingen in te stellen voor gebruikers of groepen. Deze specificeren wat voor soort toegang de gebruiker of groep heeft tot het object. Deze rechten kunnen op beide worden ingesteld toestaan of ontkennen een specifiek type toegang, en kan ofwel expliciet op het object worden ingesteld, ofwel impliciet door overerving van de bovenliggende map.

De standaardrechten voor bestanden zijn: Volledig beheer, Wijzigen, Lezen en uitvoeren, Lezen, Schrijven en Speciaal. Mappen hebben nog een speciale toestemming, genaamd Lijst mapinhoud. Deze standaardrechten zijn vooraf gedefinieerde sets van geavanceerde rechten die meer gedetailleerde controle mogelijk maken, maar die normaal gesproken niet nodig zijn buiten de standaardmachtigingen.

Bijvoorbeeld de Lezen en uitvoeren standaard toestemming omvat de volgende geavanceerde rechten:

• Traverse Folder / Execute File
• Lijstmap / gelezen gegevens
• Lees attributen
• Lees Uitgebreide attributen
• Lees toestemming

Toegangscontrolelijsten

Elk object in het bestandssysteem heeft een bijbehorende toegangscontrolelijst (ACL). De ACL is een lijst met beveiligings-ID's (SID's) die rechten hebben op het object. Het Local Security Authority Subsystem (LSASS) vergelijkt de SID die is gekoppeld aan het toegangstoken dat aan de gebruiker is gegeven bij het inloggen op de SID's in de ACL voor het object waartoe de gebruiker probeert toegang te krijgen. Als de SID van de gebruiker niet overeenkomt met een van de SID's in de ACL, wordt toegang geweigerd. Als het overeenkomt, wordt de gevraagde toegang verleend of geweigerd op basis van de rechten voor die SID.

Er is ook een evaluatieopdracht voor toestemmingen die in overweging moeten worden genomen. Expliciete toestemmingen hebben voorrang op impliciete toestemmingen en weiger permissies hebben voorrang op toestemmingen. In volgorde ziet het er zo uit:

1. Expliciet ontkennen
2. Expliciet toestaan
3. Impliciet weigeren
4. Impliciet toestaan

Standaard Root Directory Permissions

De machtigingen die worden verleend in de hoofdmap van een schijf variëren enigszins, afhankelijk van of de schijf de systeemschijf is of niet. Zoals te zien is in de onderstaande afbeelding, heeft een systeemstation twee afzonderlijke Toestaan vermeldingen voor geverifieerde gebruikers. Er is er een die geverifieerde gebruikers toestaat om mappen te maken en gegevens aan bestaande bestanden toe te voegen, maar om geen bestaande gegevens in het bestand te wijzigen die alleen van toepassing zijn op de hoofdmap. Met de andere kunnen geverifieerde gebruikers bestanden en mappen in submappen wijzigen, als die submap rechten van de root overneemt.

De systeemmappen (Windows, Programmagegevens, Programmabestanden, Programmabestanden (x86), Gebruikers of Documenten en instellingen en mogelijk anderen) nemen hun rechten niet over van de hoofddirectory. Omdat het systeemmappen zijn, zijn hun rechten expliciet ingesteld om te helpen voorkomen onopzettelijke of kwaadwillige wijziging van besturingssysteem-, programma- en configuratiebestanden door malware of een hacker.

Als het geen systeemstation is, is het enige verschil dat de groep Geverifieerde gebruikers een enkele toegestane vermelding heeft waarmee wijzigingsrechten voor de hoofdmap, submappen en bestanden mogelijk zijn. Alle rechten die zijn toegewezen voor de 3 groepen en het SYSTEEM-account worden overal in de schijf overgenomen.

Probleemanalyse

Toen onze poster de attrib commando dat probeert om alle systeem, verborgen en alleen-lezen attributen te verwijderen van alle bestanden en mappen beginnend bij de (niet-gespecificeerde) map waarin ze zich bevonden, ze ontvingen berichten die aangeven welke actie ze wilden uitvoeren (Schrijf attributen) wordt geweigerd. Afhankelijk van de map waarin ze zich bevonden toen ze de opdracht uitvoerden, is dit waarschijnlijk een zeer goede zaak, vooral als ze zich in C: \ bevonden.

In plaats van te proberen die opdracht uit te voeren, was het beter geweest om gewoon de instellingen in Windows Verkenner / Verkenner te wijzigen om verborgen bestanden en mappen weer te geven. Dit kan eenvoudig worden bereikt door naar te gaan Organiseren> Map- en zoekopties in Windows Verkenner of Bestand> Map wijzigen en zoekopties in Bestandsverkenner. Selecteer in het resulterende dialoogvenster Tabblad Weergeven> Verborgen bestanden, mappen en stations weergeven. Als dit is ingeschakeld, worden verborgen mappen en bestanden weergegeven als gedimde items in de lijst.

Als de bestanden en mappen nog steeds niet worden weergegeven, is er op dit moment een probleem met de geavanceerde machtiging Mapmap / Leesgegevens. Ofwel de gebruiker of een groep waartoe de gebruiker behoort is uitdrukkelijk of impliciet die toestemming voor de betreffende mappen geweigerd, of de gebruiker behoort niet tot een van de groepen die toegang hebben tot die mappen.

U kunt zich afvragen hoe de lezer rechtstreeks naar een van deze mappen kan gaan als de gebruiker niet over de machtigingen Lijstmap / Leesgegevens beschikt. Zolang u het pad naar de map kent, kunt u ernaartoe gaan, mits u de geavanceerde machtigingen Traverse Folder / Execute File erop heeft staan. Dit is ook de reden dat het niet waarschijnlijk is dat dit een probleem is met de standaardmachtiging Lijstmapinhoud. Het heeft beide van deze geavanceerde rechten.

De resolutie

Met uitzondering van systeemmappen, worden de meeste rechten in de keten overgenomen. Dus de eerste stap is om de directory te identificeren die het dichtst bij de root van de schijf ligt, waar de symptomen naar boven komen. Zodra deze map is gevonden, klikt u er met de rechtermuisknop op en selecteert u Eigenschappen> tabblad Beveiliging. Controleer de rechten voor elk van de vermelde groepen / gebruikers om te controleren of ze een vinkje hebben in de kolom Toestaan ​​voor de machtiging Lijstinhoud en niet in de kolom Weigeren.

Als geen van beide kolommen is aangevinkt, kijk dan ook naar de vermelding Speciale machtigingen. Als dit is aangevinkt (toestaan ​​of weigeren), klik dan op Geavanceerd knop Machtigingen wijzigen in het resulterende dialoogvenster als u Vista of hoger gebruikt. Dit zal een bijna identiek dialoogvenster openen met een paar extra knoppen. Selecteer de juiste groep en klik op Bewerk en zorg ervoor dat de Lijst map / leesgegevens toestemming is toegestaan.

Als de controles grijs worden weergegeven, betekent dit dat het een geërfde toestemming, en het wijzigen ervan moet gebeuren in de bovenliggende map, tenzij er een dwingende reden is om dit niet te doen, zoals het de profieldirectory van een gebruiker is en de ouder de gebruikers of documenten en instellingen zou zijn map. Het is ook onverstandig om machtigingen toe te voegen voor een tweede gebruiker om toegang te krijgen tot de profieldirectory van een andere gebruiker. Log in plaats daarvan in als die gebruiker om toegang te krijgen tot die bestanden en mappen. Als het iets is dat gedeeld moet worden, verplaats ze dan naar de map met openbare profielen of gebruik het tabblad Delen om andere gebruikers toegang te geven tot de bronnen.

Het is ook mogelijk dat de gebruiker geen toestemming heeft om de rechten van de betreffende bestanden of mappen te bewerken. In dat geval moet Windows Vista of hoger een Gebruikersaccountbeheer (UAC) Stop vervelende UAC-prompts - Hoe een gebruikersaccountbeheer op de witte lijst te zetten [Windows]Sinds Vista zijn wij Windows-gebruikers lastiggevallen, afgeluisterd, geïrriteerd en moe van de prompt Gebruikersaccountbeheer (UAC) die ons vertelt dat er een programma opstart dat we opzettelijk hebben gelanceerd. Natuurlijk is het verbeterd, ... Lees verder vraag om het beheerderswachtwoord of toestemming om de rechten van de gebruiker te verhogen om deze toegang toe te staan. Onder Windows XP moet de gebruiker Windows Verkenner openen met de optie Uitvoeren als... en de gebruiken Beheerdersaccount Windows-beheerdersaccount: alles wat u moet wetenVanaf Windows Vista is het ingebouwde Windows-beheerdersaccount standaard uitgeschakeld. U kunt het inschakelen, maar doe dit op eigen risico! We laten je zien hoe. Lees verder om ervoor te zorgen dat de wijzigingen kunnen worden aangebracht als ze nog niet worden uitgevoerd met een beheerdersaccount.

Ik weet dat veel mensen je zouden zeggen dat je eigenaar moet worden van de mappen en bestanden in kwestie, maar er is er een reusachtig voorbehoud bij die oplossing. Als het systeembestanden en / of mappen zou beïnvloeden, zal dit de algehele beveiliging van uw systeem ernstig verzwakken. Het zou moeten nooit worden gedaan in de root, Windows, gebruikers, documenten en instellingen, programmabestanden, programmabestanden (x86), programmagegevens of inetpub-mappen of een van hun submappen.

Conclusie

Zoals u kunt zien, zijn machtigingen op NTFS-schijven niet overdreven moeilijk, maar het lokaliseren van de bron van toegangsproblemen kan vervelend zijn op systemen met veel mappen. Gewapend met een basiskennis van hoe permissies werken met toegangscontrolelijsten en een beetje vasthoudendheid, zal het opsporen en oplossen van deze problemen snel kinderspel worden.