Ich versuche, mit einem Administratorbenutzerkonto auf Windows Server 2019 die NTFS-Berechtigungen für ein Benutzerkonto auf %ProgramFiles%, %ProgramFiles(x86)%, und zu ändern %WinDir%, erhalte jedoch eine access deniedFehlermeldung, da die Ordner Eigentum von sind TrustedInstaller.
- Ich habe sowohl den Dialog für grundlegende als auch für erweiterte Berechtigungen ausprobiert. Wenn ich den erweiterten Dialog verwende, um die Berechtigungen zu ändern
C:, schlägt dies bei diesen drei Ordnern fehl, wenn die Änderungen an Unterelementen weitergegeben werden. - Ich gehe davon aus, dass es möglich sein könnte, den Eigentümer der Ordner zu ändern, aber ich gehe auch davon aus, dass dies keine gute Idee wäre
Warum passiert das und gibt es eine Möglichkeit, es zu vermeiden?
- Was ich erreichen möchte, ist, ein Benutzerkonto in einer Sandbox zu betreiben und die Ausführungsberechtigung für alle Apps zu verweigern, mit Ausnahme von zwei, die für einen einzigen automatisierten Zweck verwendet werden - eine davon befindet sich in einem Unterordner von
%ProgramFiles%, die andere auf einem separaten Laufwerk.
Antwort1
Dies liegt daran, dass der OrdneraktuellACL erteilt Administratorkonten nicht die Berechtigung, ACLs festzulegen. Wenn Sie nicht der Eigentümer sind, können Sie ACLs nicht ändern, es sei denn, Ihnen wird dieser Zugriff ausdrücklich gewährt – das gilt auch für Administratoren.
(Der Zugriffseintrag, der Vollzugriff gewähren würde, ist (IO)mit „Nur erben“ gekennzeichnet; er wirkt sich nur auf untergeordnete Objekte aus, nicht jedoch auf den Originalordner.)
Eine Möglichkeit, dies zu umgehen, wäre, SeRestorePrivilege zu aktivieren (z. B. mithilfe der PSPrivilege-Cmdlets) – was der Explorer verwendet, um beliebige Besitzer festzulegen –, aber das funktioniert nicht, icaclsda es das Privileg vor dem Vornehmen der Änderungen manuell wieder deaktiviert. Es könnte jedoch immer noch mit einem anderen Tool funktionieren (vielleicht mit PowerShells eigenem Set-Acl).
Eine andere Methode besteht darin, ein solches Tool zu verwenden, gsudo --timit dem Sie beliebige Befehle mit TrustedInstaller-Rechten ausführen können (auf die gleiche Weise, wie Windows-Komponenten diese Rechte erhalten).