Questions tagged «permissions»

在计算中,权限(通常称为“特权”,“访问权限”或仅称为“权限”)是与计算机或网络上的对象关联的规则。权限确定哪些对象可以访问哪些对象以及访问的程度。

3
使用ICACLS设置用户目录权限
我正在尝试重置用户目录的权限,并且在脚本的最后一步遇到了一些麻烦。我的脚本基本上拥有整个用户目录的所有权,重置该目录的所有文件和文件夹的权限,显式授予我需要的权限,停止从父文件夹的权限的所有继承,为所有文件设置合法的所有者(指定的用户)和文件夹,然后删除我授予自己的权限,以便可以对文件进行操作。我需要最后一步将自己从所有文件和子文件夹中删除,但此刻它只是将我从%userDir%中删除,并将所有继承的权限保留在下面。这在ICACLS中是一个明显的缺点。有谁知道其他方法可以做到这一点? set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe) TAKEOWN /f "E:\Home Directories\%userDir%" /r /d y ICACLS "E:\Home Directories\%userDir%" /reset /T ICACLS "E:\Home Directories\%userDir%" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F /grant:r "SYSTEM":(OI)(CI)F /grant:r "MYDOMAIN\%username%":(OI)(CI)F ICACLS "E:\Home Directories\%userDir%" /inheritance:r ICACLS "E:\Home Directories\%userDir%" /setowner "MYDOMAIN\%userDir%" /T ICACLS "E:\Home Directories\%userDir%" …
3
Windows文件权限和属性
我对整个Windows文件安全方案感到有些困惑。我来自UNIX背景,因此我不完全了解文件权限/安全设置与属性之间的关系;文件可以具有的只读属性。 例如,如果我以管理员身份登录到我的邮箱中,并且拥有一个可以完全控制管理员的文件,但是设置了只读属性,那意味着我无法写入该文件?除了删除我可以写到据称可以完全控制的文件的只读属性之外,还有什么办法吗?如果没有,如果您没有真正的完全控制权,那么拥有完全控制权的优势是什么?
3
域管理员组中的用户无法访问该组有权访问的目录
与我的一个域实验室一起玩时,我遇到了一个相当有趣的问题。 2008 R2文件服务器上有一个目录,用于“ Staff” OU中的所有用户的文件夹重定向。该目录设置了以下权限: FILESERVER \ Administrators:允许完全控制目录,子目录和文件 DOMAIN \ Domain Admins:允许完全控制目录,子目录和文件 经过身份验证的用户:仅允许创建文件,创建文件夹,写入属性以及将扩展属性写入顶层目录 此外,该目录也是具有“允许完全控制”到Authenticated Users组的网络共享。 当域admins组的成员用户john.doe尝试从文件服务器访问目录时,他收到错误消息“您当前无权访问此文件夹”。尝试从同一服务器访问网络共享也会导致权限被拒绝错误(尽管用户仍然可以访问共享中自己的目录)。 从以同一用户身份登录的另一台计算机访问共享将允许按配置进行访问。 登录文件服务器时,访问目录中文件的唯一方法是打开提升的命令提示符。通过组策略为域中的所有计算机禁用了UAC(启用了以“管理员批准”模式运行所有管理员,并且默认行为设置为“提升”而不提示)。 所有道路都指向允许用户访问的路径,但仍被拒绝。有任何想法吗?
10
NTFS文件夹没有所有者,没有权限,无法删除
我有一个不能删除的2003成员服务器文件夹。没有任何权限(域管理员和使用psexec作为“ nt Authority \ system”运行cmd提示符)-始终“拒绝访问”。 当我执行目录/ q时,所有者显示为“ ...”。 我试过了该文件夹上的takeown.exe,它也是父文件夹。错误的文件夹始终报告“访问被拒绝”。还尝试使用icacls重置,同样的事情。 资源管理器权限没有共享和安全性选项或选项卡。对于其他文件夹,即使在同一目录中,它也可以正常工作。
15 ntfs  permissions 
5
指定特定目录中新文件的默认组和权限
我有一个特定的目录,其中有一个由多个用户共享的项目。这些用户使用SSH来访问此目录并修改/创建文件。 该项目仅应可写给特定的用户组:让我们称之为“ mygroup”。在SSH会话期间,默认情况下,当前用户创建的所有文件/目录都应归组“ mygroup”所有,并具有组可写权限。 我可以解决权限问题umask: $ cd project $ umask 002 $ touch test.txt 文件“ test.txt”现在可以组写入了,但是仍然属于我的默认组(“ mislav”,与我的用户名相同),而不属于“ mygroup”。我可以chgrp递归地设置所需的组,但是我想知道是否有一种隐式设置组的方法,例如umask在会话期间更改默认权限。 这种特定的目录是一个共享的git仓库与工作副本,我想git checkout和git reset操作设置工作副本中创建的新文件正确的面具和组。操作系统是Ubuntu Linux。 更新:一位同事建议我应该研究POSIX ACL的 getfacl / setfacl,但是umask 002在当前会话中结合使用以下解决方案对我来说已经足够好了,并且更加简单。
3
NGinx和PHP应该以什么用户身份运行?
许可对于Linux来说让我有些困惑。因此,目前我的NGinx和PHP-FPM实例都与用户和组一起运行: www数据 这是标准吗?遇到文件上传时遇到麻烦。 例如,文件将与用户和组www-data一起上传。现在,由于我是如何在Web应用程序中设置权限(0440)的,所以我无法使用普通帐户通过ssh登录来下载这些文件。这是无法更改的。 我当时想更改我的nginx和php实例以保留该组,但是将它们更改为以我的用户名运行。 在这里处理权限的正确方法是什么?谢谢。
5
Apache:chmod 755不足以在Mac OS 10.5的Apache httpd上设置符号链接或别名吗?
在我的Mac OS 10.5机器,我想建立的子文件夹~/Documents一样~/Documents/foo/html是HTTP://本地主机/富。 我想到要做的第一件事是使用Alias,如下所示: Alias /foo /Users/someone/Documents/foo/html <Directory "/Users/someone/Documents/foo/html"> Options Indexes FollowSymLinks MultiViews Order allow,deny Allow from all </Directory> 这使我成为403 Forbidden。在error_log中,我得到了: [error] [client ::1] (13)Permission denied: access to /foo denied 有问题的子文件夹具有chmod 755访问权限。我试过指定像http://localhost/foo/test.php之类的东西,但是那也不起作用。接下来,我尝试了symlink路由。 进入/Library/WebServer/Documents并建立了符号链接~/Documents/foo/html。文件根目录有 Options Indexes FollowSymLinks MultiViews 这仍然让我成为403 Forbidden: Symbolic link not allowed or link target not accessible: /Library/WebServer/Documents/foo 我还需要设置什么? …
1
如何允许用户使用journalctl查看特定于用户的systemd服务日志?
我正在Ubuntu 16.04 LTS中运行用户级服务。例如,我的test.service位于〜/ .config / systemd / user / test.service 我能够通过运行服务 systemctl --user start test.target 但是,当我尝试使用journalctl读取其日志时,出现以下错误消息: journalctl --user -u test.service Hint: You are currently not seeing messages from other users and the system. Users in the 'systemd-journal' group can see all messages. Pass -q to turn off this notice. No …
3
PING icmp open套接字:vserver中不允许进行操作
我正在运行具有多个虚拟机的虚拟服务器环境。单个VM具有以下问题: $ ping 8.8.8.8 ping: icmp open socket: Operation not permitted $ ls -l $(which ping) -rwsr-xr-x 1 root root 30736 2007-01-31 00:10 /bin/ping $ whoami root $ mount /dev/hdv1 on / type ufs (defaults) none on /proc type proc (0) none on /tmp type tmpfs (size=16m,mode=1777) none on /dev/pts …
2
Linux ssh:允许公钥身份验证,而无需授予用户对私钥的读取权限
在我的Linux服务器上登录的用户应该能够使用默认帐户ssh到特定的远程计算机。远程计算机上的身份验证使用公钥,因此在服务器上相应的私钥可用。 我不希望服务器用户实际能够读取私钥。基本上,他们可以访问服务器这一事实使他们拥有ssh权限,并且从服务器中删除它们也应该禁止连接到远程计算机。 如何允许用户打开ssh连接而不授予他们对私钥的读取权限? 到目前为止,我的想法是:显然ssh可执行文件必须能够读取私钥,因此它必须在具有这些权限的服务器上的另一个用户下运行。一旦建立了ssh连接,我就可以将其“转发”给用户,以便他可以输入命令并与远程计算机进行交互。 这是一个好方法吗? 我应该如何实施前锋? 用户如何启动连接(即对密钥具有读取权限的用户执行ssh)? 有安全漏洞吗?-如果用户可以像其他用户一样执行ssh,那么他们可以做其他用户可以做的所有事情(包括读取私钥)吗?
4
使用SQL Server(2008),可以在架构中授予创建表权限吗?
使用SQL Server 2008中的安全性,我试图授予用户CREATE TABLE权限,但仅在特定架构内。CREATE TABLE权限仅适用于数据库级别吗? 我可以限制用户仅在模式内创建表吗? 我试过了: USE [databasename] GRANT CONTROL ON Schema :: [schemaname] TO [username] GO 和 USE [databasename] GRANT ALTER ON Schema :: [schemaname] TO [username] GO 但是,用户仍然无法在目标架构内创建表。直到我运行此命令,用户才能创建表: USE [databasename] GRANT CREATE TABLE to [username] GO 格兰特 GRANT数据库权限
2
Apache文档根目录的最佳权限/所有权
我需要一些帮助来设置apache文档根目录的正确权限或所有权。这是我需要的: 存储在不同的网站 /var/www/html/<site> 两个用户应通过ssh更新/管理网站 所有权应不同于apache用户(出于安全性考虑) 我怎样才能做到这一点?目前,所有文件都是世界可写的,这不好。服务器运行CentOS 5.5 谢谢
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.