Redefinindo as permissões NTFS em todo o disco

11

Alguém estragou tudo ao definir permissões em uma unidade NTFS e estou procurando uma maneira de redefinir todas as permissões para o padrão. O sistema operacional será reinstalado, mas estou tentando recuperar dados de seus diretórios de usuários.

Nenhum dos dados é criptografado no nível do FS.

Alguma recomendação sobre como conseguir isso?

permissions ntfs access-control-list Andrew Moore
fonte

Respostas:

16

Se você está falando de um disco que não contém uma instalação do Windows, basta usar os utilitários "TAKEOWN" e "ICACLS":

TAKEOWN /f "X:\" /r /d y
ICACLS "X:\" /reset /T

Em seguida, você pode redefinir as ACLs para o que quiser.

Se for um disco com o sistema operacional Windows 2000, XP ou Server 2003 instalado (não conheça o Vista neste caso), você poderá tentar reaplicar o modelo de segurança padrão:

secedit /configure /db secedit.sdb /cfg %SystemRoot%\defltwk.inf /overwrite /verbose

(Em uma instalação do Windows Server, substitua "defltsv.inf" por "defltwk.inf".)

Evan Anderson
fonte
Você pode adicionar essas opções ao icalscomando: /C(Continuar com erros no arquivo) e /Q(suprimir mensagens de sucesso). As mensagens de erro ainda seriam exibidas.
mivk
1
No Win7 x64, obtive erros ao citar a unidade. E para icacls, não pude especificar a unidade diretamente. Então eu tive que usar takeown /F X:\ /R /D Ye icacls X:\* /reset /T.
mivk
A Microsoft, na verdade, parece ter mudado de idéia sobre a utilidade (e a segurança) do secedit pelo menos para esta tarefa. O método é realmente muito leve ao tocar qualquer coisa do AFAICT (uma boa quantidade de chaves do Registro, mas pequenas pastas do sistema, talvez a principal do Windows). Portanto, no final do dia, a única maneira confiável que conheço é comparar ACLs com outro sistema confiável.
mirh
2

Como alternativa ao takeown e * cacls, você pode usar o SetACL para primeiro se apropriar de todos os arquivos e diretórios na unidade e, em seguida, definir as permissões desejadas.

Configurando o proprietário de uma árvore inteira para administradores e ativando a herança nos objetos filho :

SetACL.exe -on "C:\" -ot file -actn setprot -op "dacl:np;sacl:nc" 
           -rec cont_obj -actn setowner -ownr "n:S-1-5-32-544;s:y"

Adicionando permissões completas para administradores:

SetACL.exe -on "C:\" -ot file -actn ace -ace "n:S-1-5-32-544;s:y;p:full"
Helge Klein
fonte
0

Não tenho certeza de que isso exista. Dito isto, a menos que você esteja criando imagens do sistema, o sistema operacional poderá ser reinstalado sem remover os dados do usuário, o que também corrigirá permissões nas pastas relacionadas ao sistema operacional. Dependendo do tipo de sistema e do que está disponível, coloque a unidade em outro sistema e retire os dados do usuário, limpe e reinstale.

Jeff Hengesbach
fonte
0

Eu nunca ouvi falar de nada que "redefinir" as permissões de tudo para um painel em branco, a menos que a "restauração do backup" conte.

Mesmo se tivesse, precisaria de uma maneira de saber quem é o proprietário de quais arquivos, além de permissões de registro e outras informações de identificação. As chances são de que ele estragaria tudo e você teria um sistema que agiria de forma estranha em momentos aleatórios, a menos que o programa em questão tivesse um instantâneo de qual era o estado da máquina quando foi instalada pela primeira vez ... nesse caso, é o mesmo como um backup. Você teria permissões e IDs (IDs de segurança) potencialmente alterados apenas adicionando usuários e instalando o sistema operacional em primeiro lugar na máquina, porque o Windows tinha certas coisas na ACL específicas da instalação.

Sua melhor aposta é fazer backup dos dados do usuário, limpar o disco e reinstalar antes de copiar os dados do usuário de volta para as pastas apropriadas e, em seguida, criar uma imagem de backup do sistema.

Essa é uma das situações em que o RAID não ajudaria, mas um bom backup pode (existem vários administradores iniciantes que parecem pensar que o RAID é um backup; nessa situação, não teria ajudado!)

Bart Silverstrim
fonte
Embora eu concorde que você não pode restaurar nenhuma configuração de segurança personalizada, é possível reaplicar o modelo de segurança padrão e voltar à segurança padrão do sistema operacional.
Evan Anderson
Usar esse potencial não causaria problemas se ele tivesse segurança personalizada por meio de aplicativos? Por alguma razão, evito isso porque pode causar um comportamento inesperado no caminho ... ou isso melhorou?
22410 Bart Silverstrim
Se você modificou a segurança do padrão para acomodar algum software, precisará modificá-la novamente depois de voltar aos padrões. Na minha opinião, esse deveria ser o comportamento "esperado". Se você alterar algo do padrão e depois voltar ao padrão, ele voltará ao padrão novamente.
Evan Anderson
0

Não vejo uma maneira de recuperar as coisas do jeito que estavam usando apenas uma caixa, mas se você tiver uma segunda disponível, seja como uma área de reposição ou temporária (até mesmo um PC com um HD robusto serve para temporário), aqui está uma solução. Provavelmente existem alguns atalhos que você pode usar aqui, mas eu prefiro a maneira lenta e meticulosa, pois é menos propensa a erros humanos.

Vamos supor que o Servidor A seja aquele com permissões erradas e o Servidor B seja a área de armazenamento temporário ou de substituição.

  • Restaure do último backup válido para o Servidor B (certifique-se de selecionar a opção para restaurar a segurança ao fazê-lo).
  • No servidor A, estabeleça se você pode ou não acessar os dados.
    • Caso contrário, assuma a propriedade de tudo, por meio da GUI ou da linha de comando.
    • Estabeleça se você pode ou não acessar os dados agora.
    • Caso contrário, conceda a si mesmo Controle Total.
  • Copie os dados do Servidor A para o Servidor B usando xcopy / S / E / C / H / R / K / Y. Não use / O, pois isso substituirá as ACLs restauradas.
  • Se for um servidor de substituição, você está pronto. Caso contrário, após ter reconstruído o Servidor A, copie-o novamente do Servidor B, desta vez usando xcopy / S / E / C / H / R / K / O / A (note / 0 está aqui neste momento).
  • Tenha algumas palavras calmas em um canto com a pessoa que fez isso. Bastões de beisebol e ameaças de revogar seus direitos de administrador podem ou não ser opcionais, dependendo de como você se sente.
Maximus Minimus
fonte