精华内容
下载资源
问答
  • Windows用户组管理和权限基础概述

    千次阅读 2019-07-11 22:05:52
    Windows用户/组管理和权限 一、用户帐户管理 1、用户帐户不同的用户身份拥有不同的权限每个用户包含一个名称和一个密码用户帐户拥有唯一的安全标识符(SID) 2、用户管理创建用户、为用户重置密码、重命名用户、启用...

    Windows用户/组管理和权限
    一、用户帐户管理
    1、用户帐户不同的用户身份拥有不同的权限每个用户包含一个名称和一个密码用户帐户拥有唯一的安全标识符(SID)
    2、用户管理创建用户、为用户重置密码、重命名用户、启用、禁用用户帐户删除用户帐户(删除用户后再创建同名同密用户也不具有以前用户的权限,因为SID安全标识符不同)

    二、内置用户帐户用于特殊用途,一般不需更改其权限
    1、Administrator(管理员用户)默认的管理员用户。无法删除此帐户,为了安全建议改名。
    2、Guest(来宾用户)默认是禁用的,提供给没有帐户的用户来临时使用,它只拥有有限权限。无法删除。

    三、管理组帐户
    1、组账户组是一些用户的集合组内的用户自动具备为组所设置的权限
    2、组帐户管理新建组、向组内添加成员(可以双击组添加成员或右击用户—属性—隶属于)、重命名组、删除组
    3、常见内置组的作用:
    1)Administrators:此组内用户具有系统管理员权限。
    2)Backup Operators:具有备份和还原的权限
    3)Guests:如果注销位于此组的成员,其用户配置文件将被删除,默认guest 即属于此组。
    4)Network Configuration Operators:具有管理网络功能的配置,如更改IP地址
    5)Power Users:旧版windows系统就已经存在的组,为简化组即将被淘汰。
    6)Remote Desktop Users:此组内的用户可以从远程计算机使用远程桌面服务来登录
    7)Users:新用户的默认组8)Print Operators:具有管理打印机的权限
    4、特殊本地内置组Everyone:任何一个用户都属于这个组Authenticated Users:任何使用有效用户来登录此计算机的用户,都属于此组Interactive:任何在本地登录(按ctrl+alt+del键登录)的用户,都属于此组Network:任何通过网络来登录此计算机的用户,都属于此组。注:本地组不能包含本地组,可以包含某些内置组。

    四、ALP规则将本地用户加入本地组,最后只给本地组分配权限(ALP规则的含义)

    五、文件系统概述
    1、文件系统:即在外部存储设备上组织文件的方法
    2、常用的文件系统FAT、NTFS、EXT3、NTFS文件系统的优点
    1)提高磁盘读写性能
    2)可靠性:加密、访问控制列表
    3)磁盘利用率:压缩、磁盘配额
    4)AD需要NTFS的支持

    六、常见NTFS权限
    1、文件夹的NTFS权限读取、写入、列出文件夹目录、读取和执行、修改、完全控制、特殊权限:与文件和文件夹的数据无关,与【安全】选项卡读取、更改相关
    2、文件的NTFS权限注:和文件夹的权限相比少了列出文件夹目录
    3、特殊权限读取权限、更改权限、取得所有权七、NTFS权限规则
    1、权限的累加:在权限不冲突的基础上用户的有效NTFS权限累加
    2、拒绝优先(拒绝大于一切)
    3、继承权限默认子文件夹或子文件会继承上级文件夹的权限,子文件夹可以取消继承上级文件夹的权限(在子文件夹上右击属性—安全—高级—权限—更改权限—禁用继承)—确定—点击编辑修改继承用户的权限。强制继承
    4、取得所有权

    展开全文
  • win10重装系统出现当前windows用户系统盘展开文件权限不足 请您提高权限 我在一键安装系统软件上出现了这个问题 在设置了用户权限也行不通 最后吧安装系统的文件放到其他盘就可以了 ...

    win10重装系统出现当前windows用户系统盘展开文件权限不足 请您提高权限

    我在一键安装系统软件上出现了这个问题
    在设置了用户权限也行不通
    最后吧安装系统的文件放到其他盘就可以了

    展开全文
  • Windows 权限管理

    千次阅读 2017-09-14 11:03:08
    用户权限windows vista之前,用户登录,就会创建一个安全令牌(security token),当代码试图访问受保护的安全资源时,os会出示这个安全令牌。从包括windows资源管理器在内的第一个进程开始,这个令牌会与新建的...

    Windows 权限管理

    基础概念

    管理员用户是被授予高特权(安全令牌)的账户。
    标准用户是被授予标准权限(筛选令牌)的账户。

    用户与权限

    在windows vista之前,用户登录,就会创建一个安全令牌(security token),当代码试图访问受保护的安全资源时,os会出示这个安全令牌。从包括windows资源管理器在内的第一个进程开始,这个令牌会与新建的所有进程关联。
    
    在windows vista及之后,用户登录,若是使用管理员登录,则会创建两个令牌,一个是安全令牌,一个是筛选令牌。筛选令牌只被授予标准用户的权限。从包括windows资源管理器在内的第一个进程开始,这个令牌会与系统代表最终用户启动的所有新进程关联。
    

    UAC

    标准权限的应用程序如何访问需要高权限的受限资源?
    可以要求os提升权限,但权限只能在进程边界提升。也就是一旦进程启动后,就不能提升权限, 进程在启动时,它会与当前登录用户的筛选令牌进行关联。
    应用程序提升权限方式
    右键run as Admininstrator,若是管理员用户,则 提升权限确认对话框。若是标准用户,则 登录凭证对话框,要求输入具有提升权限的账户的登录凭证。

    提升权限确认对话框的三种类型:

    • 蓝色横幅,应用程序是系统的一部分
    • 灰色横幅,应用程序进行了签名
    • 橙色横幅,应用程序没有签名
    进程提升权限方式

    自动提升

    1. manifest嵌入到可执行文件的资源中 (优先级高)
    2. manifest保存到可执行文件的目录中,名称与可执行文件相同,扩展名为.manifest
      除通过xml manifest来明确设置所需的权限,os也会只能判断一个程序是不是安装程序,若是,则提升权限对话框/登录凭证对话框,若不是安装程序,则由最终用户自行决定是否以管理员身份启动进程(属性->兼容性)。
    手动提升
    ShellExecuteEx函数

    权限上下文

    如何判断应用程序是否已管理员身份运行?
    如何判断使用的提升权限(安全令牌),还是使用标准权限(筛选令牌)?

    1. 先判断进程使用的令牌是否是筛选令牌GetTokenInformation
    2. 在判断进程运行的用户身份是否是管理员
      若是安全令牌(未筛选令牌,权限被成功提升),IsUserAnAdmin函数判断是否管理员用户。
      若是筛选令牌,先获取安全令牌的相关信息看是否包含管理员的SID。

    windows 完整性机制

    安全描述符SID
    访问控制列表ACL
    系统访问控制列表SACL
    在sacl中新增了强制标签的访问控制项ACE,来为受保护的资源分配一个完整性级别(integrity level)。默认没有ACE的安全对象,os默认其拥有Medium完整性级别。
    每一个进程都有一个基于其安全令牌的完整性级别
    完整性级别的比较在ACL之前(进程的完整性级别与内核对象的完整性级别)

    级别示例
    IE
    默认使用中信任级别,并使用一个筛选过的令牌
    若应用程序使用提升后的权限启动,则以高信任级别来运行
    系统Local System或Local Service的身份运行的进程,才能获得这个信任级别

    tools: AccessChk,可以列出访问文件、文件夹、注册表项等各种资源所需的完整性级别。

    用户界面特权隔离UIPI

    展开全文
  • windows文件权限管理dos命令

    万次阅读 2019-07-15 13:07:31
    文章目录前言windows dos 文件权限操作命令:Icacls or Cacls。Cacls示例Icacls详细示例1.ICACLS /save & /restore2. ICACLS /setownerwindows sid 简介及相关的whoami dos命令3. ICACLS /findsid4. ICACLS /...

    前言

    你是否不想让别人在你的电脑上打开某个文件夹或者文件?是否有时想允许让别人看某个文件和文件夹下的文件,但是不想让别人更改?或者不想让自己电脑上的某个账户不能访问某个文件夹?如果有过那么可以用以下命令实现,而不需要借助其他加密软件。

    注意要限制别人访问的文件或者文件夹所在盘必须要是NTFS文件系统的,而不能是FAT32格式。这或许是ntfs文件系统安全性能好于fat32的原因之一吧。[比如查看D盘文件系统,只需要打开D盘,在里面空白处点击右键-属性,里面就可以看到了]

    如果是fat32而不是ntfs文件系统可以通过这条命令来转换所在盘为ntfs文件系统[不影响里面的文件的]:

    命令行下操作:

    开始-运行-cmd-回车 打开命令行界面

    输入:convert d: /fs:ntfs

    再回车,按照提示操作就可以了

    [上面命令的意思是:convert表示命令转换文件系统的意思;d: 表示要转换D盘,其他盘你可以相应写,比如f: ; /fs:ntfs 表示文件系统转换为ntfs格式。注意这个命令只能把fat32转换成ntfs格式。将ntfs转换为fat32不能通过简单命令完成,需要借助特别软件。]

    windows dos 文件权限操作命令:Icacls or Cacls。

    请使用Icacls,不推荐使用 Cacls

    权限操作命令需要在管理员模式下运行runas /noprofile /user:administrator cmd输入密码,切换到管理员模式下。

    由于网上和微软官网对cacls 和 icacls命令的实例介绍的不详细,这里对每个命令都有对应的示例进行说明,便于理解学习。

    Cacls

    显示或者修改文件的访问控制列表(ACL)

     CACLS filename [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G user:perm]
            [/R user [...]] [/P user:perm [...]] [/D user [...]]
        filename      显示 ACL。
        /T            更改当前目录及其所有子目录中指定文件的 ACL。
        /L            对照目标处理符号链接本身
        /M            更改装载到目录的卷的 ACL
        /S            显示 DACL 的 SDDL 字符串。
        /S:SDDL       使用在 SDDL 字符串中指定的 ACL 替换 ACL。
                      (/E、/G、/R、/P 或 /D 无效)。
        /E            编辑 ACL 而不替换。
        /C            在出现拒绝访问错误时继续。
        /G user:perm  赋予指定用户访问权限。
                      Perm 可以是: R  读取
                                   W  写入
                                   C  更改(写入)
                                   F  完全控制
        /R user       撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
        /P user:perm  替换指定用户的访问权限。
                      Perm 可以是: N  无
                                   R  读取
                                   W  写入
                                   C  更改(写入)
                                   F  完全控制
        /D user       拒绝指定用户的访问。
     在命令中可以使用通配符指定多个文件。
     也可以在命令中指定多个用户。
    
    缩写:
        CI - 容器继承。
             ACE 会由目录继承。
        OI - 对象继承。
             ACE 会由文件继承。
        IO - 只继承。
             ACE 不适用于当前文件/目录。
        ID - 已继承。
             ACE 从父目录的 ACL 继承。
    
    eg:
    
    % 将所有d:\documents目录下的文件、子文件夹的NTFS权限修改为仅管理员组(administrators)完全控制(删除原有所有NTFS权限设置):%
    
    $ cacls d:\documents\*.* /T /G administrators:F
    
    % 在原有d:\documents目录下的文件、子文件夹的NTFS权限上添加管理员组(administrators)完全控制权限(并不删除原有所有NTFS权限设置):%
    
    $ cacls d:\documents\*.* /T /E /G administrators:F
    
    % 取消管理员组(administrators)完全控制权限(并不删除原有所有NTFS权限设置):%
    
    $ cacls \\Server\Documents\%username%\我的文档 /t /e /r "mddq\domain admins"
    $ cacls \\Server\Documents\%username%\桌面 /t /e /r "mddq\domain admins"
    
    

    Note:

    1. SDDL(securable Descriptors Define Language安全描述符定义语言.

    示例

    eg1.让所有用户禁止访问D盘test文件夹

    cacls d:\test /t /p everyone:n

    cacls test显示访问控制列表。

    $ cacls test
    D:\test Everyone:(OI)(CI)N
    

    打开D盘test就提示禁止访问。因为上面写的是everyone所有用户。所有你自己也不能访问。自己要访问时只需要运行命令:

    cacls d:\test /t /p everyone:f

    就可以了.

    如果你的电脑有几个账户,你是想不让其他账户访问这个文件夹,那么你可以在写命令的时候把everyone改成相应的账户名字,比如edwin等等〔看你实际的账户名啦〕。

    直接用everyone所有用户设置权限。要打开时再运行命令取消限制,也不是太麻烦。

    eg2.让用户edwin不能打开e:\test\apian.rmvb 这部电影。当然也可以限制图片,程序,word文档的打开哦。

    命令:

    cacls e:\test\apian.rmvb /p edwin:n

    取消限制:

    cacls e:\test\apian.rmvb /p edwin:f

    eg3:把D盘绿色软件文件夹里面的exe文件设置成只读[包括子文件夹里面的]。这样可以防止病毒感染exe文件。

    命令:

    d:
    cd d:\绿色软件
    cacls *.exe /t /p everyone:r
    

    **eg4:把E盘根目录下设置成只读,防止病毒感染E盘根目录。因为很多U盘病毒会感染根目录,在根目录下新生成一个文件夹及文件比如 autorun.inf、setup.exe、a2de3d3.exe、autorun.exe。有些恶性病毒很厉害。弄得你重装系统都无法解决病毒问题。因为这些在非系统目录根目录的病毒存在当你单纯格式化C盘重装系统之后,第一次启动时打开D盘等非系统盘的时候病毒在次感染C盘。如果把非系统盘根目录设置成只读的话就可以防止病毒生成这些文件。当然不影响根目录下文件的删除哦。但是会影响你自己建立文件夹或在根目录下复制进文件。所有建议开始把根目录下的文件夹建立好。文件放到子文件夹里面。或者在你想在比如D盘根目录下建立一个文件夹时,先用命令行取消根目录只读。虽然有点麻烦,但是好处多余坏处 哦。

    命令:
    cacls e:\ /p everyone:r

    解除根目录只读:
    cacls e:\ /p everyone:f

    问题:既然我可以用命令来加密,是不是别人也可以用命令来解密?

    回答:是的。只要有管理员权限的账户都可以运行命令来设置权限。因此需要保护好你管理员账户的密码,否则别人可以获取你电脑管理员账户权限。

    问题:用这些命令的注意点

    回答:
    1、尽量不要对系统文件及文件夹设置权限。因为那样可能会到时系统出现严重错误的。
    2、如果要重装系统,那么之前尽量把加密的解密。如果是用ghost恢复就不需要了。
    3、再次强调,所在盘符必须是ntfs的才行哦。

    Icacls

    Note: Icacls (第一个是大写的i,倒数第二个是小写的L).

    Icacls 是一种命令行工具,它显示或修改指定文件上的随机访问控制列表 (DACL),并将存储的 DACL 应用于指定目录中的文件。Icacls.exe 替换了 Cacls.exe 工具用于查看和编辑 DACL。ICACLS 是 Windows Server 2003 SP2 中 CACLS 工具的升级版本,可用于从恢复控制台重设文件中的帐户控制列表 (ACL) 以及备份 ACL。与 CACLS 不同的是,ICACLS 可以正确地传送对继承的 ACL 的更改和创建。有关 ICACLS 的使用及命令的更多信息,可以通过在命令提示符下运行icacls /?进行访问。这里的I应该是Improved upgrade of cacls.

    
    icacls <FileName> [/grant[:r] <Sid>:<Perm>[...]] [/deny <Sid>:<Perm>[...]] [/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<Policy>[...]]
    
    icacls <Directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]
    
    /t          执行当前目录及其子目录中的所有指定文件上的操作。
    /c          继续操作而不考虑文件的任何错误。 仍将显示错误消息。
    /l          执行上一个符号链接,而不是其目标的操作。
    /q          禁止显示成功消息。
    
    
    
    ICACLS name /save aclfile [/T] [/C] [/L] [/Q]
        将匹配名称的文件和文件夹的 DACL 存储到 aclfile 中以便将来与
        /restore 一起使用。请注意,未保存 SACL、所有者或完整性标签。
    
    ICACLS directory [/substitute SidOld SidNew [...]] /restore aclfile
                     [/C] [/L] [/Q]
        将存储的 DACL 应用于目录中的文件。
    
    ICACLS name /setowner user [/T] [/C] [/L] [/Q]
        更改所有匹配名称的所有者。该选项不会强制更改所有身份;
        使用 takeown.exe 实用程序可实现该目的。
    
    ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
        查找包含显式提及 SID 的 ACL 的所有匹配名称。
    
    ICACLS name /verify [/T] [/C] [/L] [/Q]
        查找其 ACL 不规范或长度与 ACE 计数不一致的所有文件。
    
    ICACLS name /reset [/T] [/C] [/L] [/Q]
        为所有匹配文件使用默认继承的 ACL 替换 ACL。
    
    ICACLS name [/grant[:r] Sid:perm[...]]
           [/deny Sid:perm [...]]
           [/remove[:g|:d]] Sid[...]] [/T] [/C] [/L]
           [/setintegritylevel Level:policy[...]]
    
        /grant[:r] Sid:perm 授予指定的用户访问权限。如果使用 :r,
            这些权限将替换以前授予的所有显式权限。
            如果不使用 :r,这些权限将添加到以前授予的所有显式权限。
    
        /deny Sid:perm 显式拒绝指定的用户访问权限。
            将为列出的权限添加显式拒绝 ACE,
            并删除所有显式授予的权限中的相同权限。
    
        /remove[:[g|d]] Sid 删除 ACL 中所有出现的 SID。使用
            :g,将删除授予该 SID 的所有权限。使用
            :d,将删除拒绝该 SID 的所有权限。
    
        /setintegritylevel [(CI)(OI)] 级别将完整性 ACE 显式添加到所有
            匹配文件。要指定的级别为以下级别之一:
                L[ow]
                M[edium]
                H[igh]
            完整性 ACE 的继承选项可以优先于级别,但只应用于目录。
    
        /inheritance:e|d|r
            e - 启用继承
            d - 禁用继承并复制 ACE
            r - 删除所有继承的 ACE
    
    
    注意:
        Sid 可以采用数字格式或友好的名称格式。如果给定数字格式,那么请在 SID 的开头添加一个 *。
    
        /T 指示在以该名称指定的目录下的所有匹配文件/目录上
            执行此操作。
    
        /C 指示此操作将在所有文件错误上继续进行。仍将显示错误消息。
    
        /L 指示此操作在符号链接本身而不是其目标上执行。
    
        /Q 指示 icacls 应该禁止显示成功消息。
    
        ICACLS 保留 ACE 项的规范顺序:
                显式拒绝
                显式授予
                继承的拒绝
                继承的授予
    
        perm 是权限掩码,可以两种格式之一指定:
            简单权限序列:
                    N - 无访问权限
                    F - 完全访问权限
                    M - 修改权限
                    RX - 读取和执行权限
                    R - 只读权限
                    W - 只写权限
                    D - 删除权限
            在括号中以逗号分隔的特定权限列表:
                    DE - 删除
                    RC - 读取控制
                    WDAC - 写入 DAC
                    WO - 写入所有者
                    S - 同步
                    AS - 访问系统安全性
                    MA - 允许的最大值
                    GR - 一般性读取
                    GW - 一般性写入
                    GE - 一般性执行
                    GA - 全为一般性
                    RD - 读取数据/列出目录
                    WD - 写入数据/添加文件
                    AD - 附加数据/添加子目录
                    REA - 读取扩展属性
                    WEA - 写入扩展属性
                    X - 执行/遍历
                    DC - 删除子项
                    RA - 读取属性
                    WA - 写入属性
            继承权限可以优先于每种格式,但只应用于
            目录:
                    (OI) - 对象继承
                    (CI) - 容器继承
                    (IO) - 仅继承
                    (NP) - 不传播继承
                    (I) - 从父容器继承的权限
    
    
            icacls file /grant Administrator:(D,WDAC)
            - 将授予用户对文件删除和写入 DAC 的管理员权限。
    
            icacls file /grant *S-1-1-0:(D,WDAC)
            - 将授予由 sid S-1-1-0 定义的用户对文件删除和写入 DAC 的权限。
    

    详细示例

    操作的文件夹结构:

    在这里插入图片描述

    1.ICACLS /save & /restore

    d:
    cd d:\macds
    
    ICACLS 1.txt /save aclf /T    % 将macds目录下所有的1.txt文件的ACL信息存储到文件aclf %
    ICACLS 1.txt /restore aclf % 利用文件aclf中的数据还原macds目录下所有的1.txt文件的ACL信息%
    
    cd \
    ICACLS d:\macds\* /save aclf2 /T
    ICACLS d:\macds /restore aclf2
    

    aclf文件内容

    1.txt
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    macds\1.txt
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    

    aclf2文件内容

    1.txt
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    aclf
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    godr.php
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    hy.doc
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    macds
    D:(A;ID;FA;;;BA)(A;OICIIOID;GA;;;BA)(A;ID;FA;;;SY)(A;OICIIOID;GA;;;SY)(A;ID;0x1301bf;;;AU)(A;OICIIOID;SDGXGWGR;;;AU)(A;ID;0x1200a9;;;BU)(A;OICIIOID;GXGR;;;BU)
    test
    D:(A;ID;FA;;;BA)(A;OICIIOID;GA;;;BA)(A;ID;FA;;;SY)(A;OICIIOID;GA;;;SY)(A;ID;0x1301bf;;;AU)(A;OICIIOID;SDGXGWGR;;;AU)(A;ID;0x1200a9;;;BU)(A;OICIIOID;GXGR;;;BU)
    macds\1.txt
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    macds\2.so
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    test\ght.xls
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    test\hy.doc
    D:(A;ID;FA;;;BA)(A;ID;FA;;;SY)(A;ID;0x1301bf;;;AU)(A;ID;0x1200a9;;;BU)
    

    2. ICACLS /setowner

    $ cd d:\macds
    $ dir /q test % 查看test目录下所有文件的所有者信息%
    
    2019/07/14  23:10    <DIR>          BUILTIN\Administrators .
    2019/07/14  23:10    <DIR>          BUILTIN\Administrators ..
    2019/07/14  23:10                 0 BUILTIN\Administrators ght.xls
    2019/07/14  23:10                 0 BUILTIN\Administrators hy.doc
    
    % 设置test目录下所有文件的所有者为jsword用户(jsword用户必须存在)%
    % 否则,会提示: 帐户名与安全标识间无任何映射完成。%
    $ ICACLS test /setowner jsword /T
    
    $ dir /q test
    
    2019/07/14  23:10    <DIR>          jscompu\jsword         .
    2019/07/14  23:10    <DIR>          BUILTIN\Administrators ..
    2019/07/14  23:10                 0 jscompu\jsword         ght.xls
    2019/07/14  23:10                 0 jscompu\jsword         hy.doc
    
    

    windows sid 简介及相关的whoami dos命令

    refer: Windows中的SID详解

    
    WhoAmI 有三种使用方法:
    
    语法 1: WHOAMI [/UPN | /FQDN | /LOGONID]
    语法 2: WHOAMI { [/USER] [/GROUPS] [/PRIV] } [/FO format] [/NH]
    语法 3: WHOAMI /ALL [/FO format] [/NH]
    
    描述:
        这个工具可以用来获取本地系统上当前用户(访问令牌)的用户名和组信息,
        以及相应的安全标识符(SID)、特权和登录标识符(logon ID)。例如,谁是
        当前登录的用户? 如果没有指定开关,工具用 NTLM 格式(域\用户名)显示
        用户名。
    
    参数列表:
        /UPN         用用户主体 (User Principal) 格式显示用户名名称 (UPN)格式。
        /FQDN        用完全合格的 (Fully Qualified) 格式显示用户名可分辨名称(FQDN) 格式。
        /USER        显示当前用户的信息以及安全标识符 (SID)。
        /GROUPS      显示当前用户的组成员信息、帐户类型和安全标识符 (SID) 和属性。
        /PRIV        显示当前用户的安全特权。
        /LOGONID     显示当前用户的登录 ID。
        /ALL         显示当前用户名、属于的组以及安全标识符(SID) 和当前用户访问令牌的特权。
        /FO  format  指定要显示的输出格式。有效值为 TABLE、LIST、CSV。CSV 格式不显示列标题。默认格式是 TABLE。
        /NH          指定在输出中不显示列标题。只对 TABLE 和 CSV 格式有效。
        /?                      显示此帮助消息。
    
    示例:
        WHOAMI
        WHOAMI /UPN
        WHOAMI /FQDN
        WHOAMI /LOGONID
        WHOAMI /USER
        WHOAMI /USER /FO LIST
        WHOAMI /USER /FO CSV
        WHOAMI /GROUPS
        WHOAMI /GROUPS /FO CSV /NH
        WHOAMI /PRIV
        WHOAMI /PRIV /FO TABLE
        WHOAMI /USER /GROUPS
        WHOAMI /USER /GROUPS /PRIV
        WHOAMI /ALL
        WHOAMI /ALL /FO LIST
        WHOAMI /ALL /FO CSV /NH
        WHOAMI /?
    

    3. ICACLS /findsid

    $ WHOAMI /USER /FO LIST % 显示当前用户的信息以及安全标识符 %
    
    用户信息
    ----------------
    
    用户名: jscompu\jsword
    SID:    S-1-5-21-3817771755-3330119566-3374898986-1000
    
    %  查找包含显式提及 SID(S-1-1-0) 的 ACL 的所有匹配名称。%
    $  ICACLS c:\* /findsid *S-1-1-0
    
    发现 SID: c:\$360Section。
    发现 SID: c:\Documents and Settings。
    发现 SID: c:\ProgramData。
    发现 SID: c:\Users。
    
    

    4. ICACLS /verify

    
    % 在C盘的所有目录及子目录下查找其 ACL 不规范或长度与 ACE 计数不一致的所有文件 %
    $ ICACLS C:\*.txt /verify /T
    
    已处理的文件: C:\$Recycle.Bin\S-1-5-21-3817771755-3330119566-3374898986-1000\$I1DNCWV.txt
    已处理的文件: C:\$Recycle.Bin\S-1-5-21-3817771755-3330119566-3374898986-1000\$IBKXJNZ.txt
    已处理的文件: C:\$Recycle.Bin\S-1-5-21-3817771755-3330119566-3374898986-1000\$R1DNCWV.txt
    已处理的文件: C:\$Recycle.Bin\S-1-5-21-3817771755-3330119566-3374898986-1000\$RBKXJNZ.txt
    已处理的文件: C:\$Recycle.Bin\S-1-5-21-3817771755-3330119566-3374898986-501\$I341E2Y.txt
    已处理的文件: C:\$Recycle.Bin\S-1-5-21-3817771755-3330119566-3374898986-501\$R341E2Y.txt
    C:\Documents and Settings\*.txt: 拒绝访问。
    已成功处理 6 个文件; 处理 1 个文件时失败
    
    

    5. ICACLS /reset

    $ ICACLS d:\macds\1.txt    % 查看d:\macds\1.txt的ACL信息 %
    
    d:\macds\1.txt BUILTIN\Administrators:(I)(F)
                   NT AUTHORITY\SYSTEM:(I)(F)
                   NT AUTHORITY\Authenticated Users:(I)(M)
                   BUILTIN\Users:(I)(RX)
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    % 为所有匹配文件使用默认继承的 ACL 替换 ACL。 %
    $ ICACLS d:\macds\1.txt /reset /T
    
    已处理的文件: d:\macds\1.txt
    已处理的文件: d:\macds\macds\1.txt
    已成功处理 2 个文件; 处理 0 个文件时失败
    
    $ ICACLS d:\macds\1.txt
    
    

    6. ICACLS /grant /deny /remove /setintegritylevel

    
    % 将授予用户对文件删除和写入DAC的管理员权限 %
    icacls d:\macds\1.txt /grant Administrator:(D,WDAC)
    
    % 将授予由 sid S-1-1-0 定义的用户对文件删除和写入 DAC 的权限 %
    icacls d:\macds\1.doc /grant *S-1-1-0:(D,WDAC)
    
    % 拒绝用户jsword对文件d:\macds\test执行删除,读取控制,写入DAC的权限 %
    % 即用户jsword对test不能执行rd...%
    icacls d:\macds\test /deny  jsword:(DE,RC,WDAC)
    
    % 取消jsword对test的所有拒绝访问权限%
    icacls d:\macds\test /remove:d jsword /T
    
    icacls d:\macds\test\* reset /T
    
    % 添加对Authenticated Users 的授权。 %
    $ icacls test\ /grant "Authenticated Users":(M)
    
    % 删除对Authenticated Users 的授权. %
    $ icacls test\ /remove "Authenticated Users"
    
    % 对test目录设置完整性级别. %
    % 注意级别不能放到()中 %
    $ icacls test /setintegritylevel (OI)(NP)(IO)H
    
    
    

    注意事项:

    1、对于继承的声明要放到具体权限之前。例如:(OI)(CI)(IO)(M)是对的,但(M)(OI)(CI)(IO)会提示无效的参数。

    2、简单权限序列中的权限可以放到()里边,也可以不加()。例如授予用户yifan修改权限可以写为icacls <目录|文件> /grant yifan:Micacls <目录|文件> /grant yifan:(M)

    3、若只授予指定用户特定权限,则必须将权限放到()中。例如授予用户yifan读取目录权限icacls <目录> /grant yifan:(AD)是对的,如果是icacls <目录> /grant yifan:AD将提示无效的参数。

    TAKEOWN

    
    TAKEOWN [/S system [/U username [/P [password]]]]
            /F filename [/A] [/R [/D prompt]]
    
    描述:
        该工具以重新分配文件所有权的方式允许管理员重新获取先前被拒绝访问的文件访问权。
    
    参数列表:
        /S           system          指定要连接到的远程系统。
        /U           [domain\]user   指定用户上下文,命令在此上下文中执行。
        /P           [password]      指定给定用户上下文的密码。如果省略,提示输入。
        /F           filename        指定文件名或目录名模式。可以用通配符 "*"
                                     指定模式。允许共享名\文件名。
        /A                           将所有权给于管理员组,而不是当前用户。
        /R                           递归: 指示工具运行于指定的目录和子目录里的文件上。
        /D           prompt          当前用户在一个目录里没有“列出文件夹”
                                     权限时,使用默认答案。当在子目录里进行
                                     递归 (/R) 操作时会发生这种情况。用有效
                                     值 "Y" 获取所有权或用 "N" 跳过。
    
        /?                           显示此帮助消息。
    
        注意: 1) 如果指定了 /A,文件所有权会给与当前登录的用户。
              2) 不支持用 "?""*" 混合的模式。
              3) /D 用于抑制确认提示。
    
    示例:
        TAKEOWN /?
        TAKEOWN /F lostfile
        TAKEOWN /F \\system\share\lostfile /A
        TAKEOWN /F directory /R /D N
        TAKEOWN /F directory /R /A
        TAKEOWN /F *
        TAKEOWN /F C:\Windows\System32\acme.exe
        TAKEOWN /F %windir%\*.txt
        TAKEOWN /S system /F MyShare\Acme*.doc
        TAKEOWN /S system /U user /F MyShare\foo.dll
        TAKEOWN /S system /U domain\user /P password /F share\filename
        TAKEOWN /S system /U user /P password /F Doc\Report.doc /A
        TAKEOWN /S system /U user /P password /F Myshare\*
        TAKEOWN /S system /U user /P password /F Home\Logon /R
        TAKEOWN /S system /U user /P password /F Myshare\directory /R /A
    
    % 强制将当前目录下的所有文件及文件夹、子文件夹下的所有者更改为管理员组(administrators)命令 %
    $ takeown /f * /a /r /d y
    
    

    参考文章

    1. cacls命令设置文件及其文件夹权限的方法
    2. windows中使用icacls命令还原文件夹的权限设置
    3. 微软官网icacls:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753525(v=ws.10)
    4. Windows中的SID详解
    5. Cacls和ICacls
    展开全文
  • windows用户和组及其权限的设置

    千次阅读 2017-11-15 15:20:00
    实验描述:新建一个用户将该用户加入系统的内置组中 实验拓扑: 实验步骤: 步骤一:新建一个用户tom—右击属性—隶属于选项卡点击添加—高级—立即查找— 选中Network Configuration Operators确定—确定 步骤二:...
  • wwindows权限认识(用户用户组)

    千次阅读 2019-03-27 19:29:00
    windows权限认识(用户用户组) Windows系统内置了许多本地用户组,这些用户组本身都已经被赋予一些权限(permissions),它们具有管理本地计算机或访问本地资源的权限。只要用户账户加入到这些本地组内,这回...
  • Windows 用户权限

    千次阅读 2013-10-12 17:03:51
     虽然Win2\X\V\win7等系统提供了“权限”的功能,但是这样就又带来一个新问题:权限如何分配才是合理的?如果所有人拥有的权限都一样,那么就等于所有人都没有权限的限制,那和使用Win9x有什么区别?幸好,系统默认就...
  • Windows用户权限介绍

    千次阅读 2012-06-15 17:55:12
    Administrators属于该administators本地组内的用户,都具备系统管理员的权限,它们拥有对这台计算机最大的控制权限,可以执行整台计算机的管理任务。内置的系统管理员帐房Administrator就是本地组的成员,而且无法将...
  • windows 系统权限问题

    千次阅读 2013-12-24 15:58:52
    所以系统的了解下windows 系统的权限问题,也是挺好的,方便解决一些配置问题。    DOS跟WinNT的权限的分别     DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有...
  • SQL Server 用户权限配置

    千次阅读 2018-10-19 14:10:29
    使用 Windows 身份验证 或 SQL Server 身份验证(SA用户) 登录 /*创建一个登录账号*/ USE [数据库名称] GO CREATE LOGIN [用户名] WITH PASSWORD='密码', DEFAULT_DATABASE=[数据库名称], CHECK_EXPIRAT...
  • Windows 系统中,管理员权限和非管理员权限运行的程序之间不能使用 Windows 提供的通信机制进行通信。对于部分文件夹(ProgramData),管理员权限创建的文件是不能以非管理员权限修改和删除的。 然而,一个进程...
  • 用户与组管理、NTFS权限用户与组管理用户SID本地用户默认有内置账户:查看用户管理:计算机右键管理Windows用户与组管理的操作练习NTFS权限:用户组与NTFS权限实验实验一:实验二:实验三 用户与组管理 用户 账户=...
  • 第一部分 Windows安装MongoDB-4.0 第一步:下载MongoDB:https://www.mongodb.com/download-center?jmp=nav#community 我目前使用版本为mongodb-win32-x86_64-2008plus-ssl-4.0.1-signed.msi 第二步:下载社区...
  • 实现域控给普通用户委派权限 前期准备 两台windows 2003 server 目标 实现域控给普通用户委派权限 注意 因为此处开始要在多台虚拟机上配置,如有不明白,请观察虚拟机名称 安装步骤 将client加入...
  • windows下C盘文件夹管理员权限设置

    千次阅读 2019-12-26 09:37:47
    我们有时会将一些软件安装在C盘,却发现有时程序对C盘文件增删改操作失败,然后自己手动去执行时也经常弹出“你需要提供管理员权限才能进删除此文件”之类,这很烦 网上有些说法是开启Administrator用户,但是我这种...
  • Windows系统权限

    千次阅读 2018-08-15 22:43:59
    Windows目录权限 1、完全控制 该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,当勾选完全控制权限之后,其他权限会自动勾选。 2、修改 该权限...
  • 如有不清楚的地方,可以在评论区留言,...我们可以建立一个普通用户给开发人员使用,让这个用户可以远程登录并有安装软件的权限。 打开管理面板: 找到计算机管理: 按照计算机管理(本地)--&gt;系统工...
  • 一般情况下windows的服务程序运行权限时system,不能显示可以与用户交互的界面,本文讲述了一个用vc2008创建ATL的service,并在服务启动时启动一个可以显示出来,并且可以与用户交互的notepad窗口,同理你可以用此...
  • 实现不同用户对同一文件不同权限 安装步骤 创建新用户u1 创建新用户u2 将u1设为修改权限 将u2设为完全控制 登陆u1 我们可以进行文件读写操作 但是没有更改权限的权利 登陆u2 可以进行...
  • windows 2008 ftp配置及用户权限管理

    千次阅读 2015-12-18 10:22:51
    安装配置FTP之前你得确认你的IIS已经装好,并且在安装IIS的时候已经安装了FTP服务器和FTP管理控制台。 如果你已经确定安装好了,那么就开始下面的步骤: 有可能把大家对server08中...做好这些,就去建用户并授权,搞
  • Windows7切换至SYSTEM权限

    千次阅读 2014-07-01 19:11:35
    因为需要对注册表进行操作,才发现原来管理员的权限也是不够的
  • windows普通用户启动管理员权限应用

    千次阅读 2019-10-23 00:24:20
    windows普通用户启动管理员权限应用 描述:非管理员怎么运行管理员权限才能运行的程序呢,有一些程序一定要管理员才能运行,怎么授权给普通用户启动这些软件的权限呢 小娜搜索secpol,用管理员运行。或者管理员...
  • windows 用户基本查看命令

    万次阅读 2019-08-15 23:41:42
    “net user”命令,该命令可以查看、添加、修改用户账户信息,其语法格式为 net user [UserName [Password | *] [options]] [/domain] net user [UserName {Password | *} /add [options] [/domain] net user ...
  • Windows下的权限更改脚本

    千次阅读 2011-11-01 10:35:40
    iCacls可以实现查看及设置文件的访问控制表(ACL)的功能,如在移动用户文件夹后无法收藏问题的解决中的应用。 ICACLS name /save aclfile [/T] [/C] [/L] [/Q] 将所有匹配名称的 ACL 存储到 aclfile 中以便将来用于...
  • 第一步:在文件上单击右键——属性——安全——高级——修改文件所有者,改成当前计算机账户,删除文件/文件夹 第一步有时候不管用,尝试第二步:该文件可能已经在应用中打开,关闭所有与该文件/文件夹有关的...
  • 以普通用户权限启动apache服务的步骤如下: 添加一个普通用户apache_user 打开服务管理器,在apache服务的属性页的登录选项卡下,选中“此用户”,然后输入apache_user及其密码 修改apache安装目录下logs目录的权限...
  • windows文件系统权限

    千次阅读 2017-08-17 09:27:05
    跟FAT和FAT32文件系统相比,NTFS文件系统可以在保持簇大小不变的情况下支持更大的分区,还有一系列的安全特性。...2.使用windows自带的convert.exe程序,在cmd下输入"conver c:/fs:ntfs "回车即可将C盘转换为N
  • 使用windows 2008r2 iis7.5 好长时间了,一直没有搞清楚windows 用户组之间的关系 最近通过搜索 整理 如下 打开windows用户组管理器 (服务器管理-&gt;配置-&gt;本地用户和组-&gt;组)   重点...
  • 同一个组下,不同用户不同权限 安装步骤 创建manager和staff用户 将其添加到IT组内 为IT组添加修改IT文件夹权限 将重要文件允许父项继承取消 为manager在重要文件中添加修改权限 而staff用户只能...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 389,358
精华内容 155,743
关键字:

windows用户权限