Usando una cuenta de usuario administrador en Windows Server 2019, estoy intentando cambiar los permisos NTFS para una cuenta de usuario en %ProgramFiles%, %ProgramFiles(x86)%y %WinDir%, pero aparece un access deniederror porque las carpetas son propiedad de TrustedInstaller.
- Probé el cuadro de diálogo de permisos básico y avanzado, y si uso el cuadro de diálogo avanzado para cambiar los permisos
C:, falla en esas tres carpetas al propagar los cambios a los subelementos. - Supongo que es posible cambiar la propiedad de las carpetas, pero también asumo que hacerlo no sería una buena idea.
¿Por qué sucede esto y hay alguna manera de evitarlo?
- Lo que estoy tratando de lograr es aislar una cuenta de usuario, negando el permiso de ejecución para todas las aplicaciones, excepto dos que se usarán con un único propósito automatizado: una de las cuales se encuentra en una subcarpeta de
%ProgramFiles%, la otra en una unidad separada. .
Respuesta1
Sucede porque la carpetaactualACL no otorga a las cuentas de administrador el permiso para configurar ACL. Si no es el propietario, no puede cambiar las ACL a menos que se le otorgue explícitamente ese tipo de acceso; eso también se aplica a los administradores.
(La entrada de acceso que otorgaría control total está marcada (IO)como "Solo heredar"; solo tiene efecto en los objetos secundarios, pero no en la carpeta original).
Una forma de evitarlo sería activar SeRestorePrivilege (por ejemplo, usando los cmdlets PSPrivilege), que es lo que Explorer usa para establecer propietarios arbitrarios, pero no funcionará icaclsya que desactiva manualmente el privilegio nuevamente antes de realizar los cambios. Sin embargo, es posible que aún funcione con una herramienta diferente (tal vez con la propia de PowerShell Set-Acl).
Otro método es utilizar una herramienta como gsudo --tiesa que le permite ejecutar comandos arbitrarios con derechos de TrustedInstaller (de la misma manera que los componentes de Windows obtienen esos derechos).