这是什么意思:
C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
BUILTIN\IIS_IUSRS:(M)
BUILTIN\IIS_IUSRS:(OI)(CI)(M)
NT AUTHORITY\IUSR:(OI)(CI)(M)
BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(F)
我认为第一个意味着userid获得对目录的“修改”权限-这意味着用户可以创建文件,更新文件或删除文件。对?什么是“ NT AUTHORITY \ IUSR”用户?那真的是一个用户ID吗?它是默认的IIS用户ID吗?
好的,我认为第二行是指一组。它具有相同的权限。
那所有带有(I)和(OI)等的行呢?请解释。
Answers:
条目是特定于该文件的用户和组(DOMAIN \ USER或GROUP),列出的权限如下:
SID可以采用数字或友好名称形式。如果使用数字形式,请在SID的开头附加通配符*。
icacls将ACE条目的规范顺序保留为:
- 明确拒绝
- 明确补助
- 继承的否认
- 继承的赠款
Perm是一种权限掩码,可以以下形式之一指定:
- 一系列简单的权利:
- F(完全访问)
- M(修改访问权限)
- RX(读取和执行访问)
- R(只读访问)
- W(只写访问)
- 用逗号分隔的特定权限列表:
- D(删除)
- RC(读取控制)
- WDAC(写DAC)
- WO(写所有者)
- S(同步)
- AS(访问系统安全性)
- MA(允许的最大值)
- GR(通用读取)
- GW(通用写入)
- GE(通用执行)
- GA(通用)
- RD(读取数据/列表目录)
- WD(写入数据/添加文件)
- AD(附加数据/添加子目录)
- REA(读取扩展属性)
- WEA(写扩展属性)
- X(执行/遍历)
- DC(删除孩子)
- RA(读取属性)
- WA(写属性)
继承权可以在任何一种Perm形式之前,并且它们仅适用于目录:
- (OI):对象继承
- (CI):容器继承
- (IO):仅继承
- (NP):不传播继承
- (I):从父容器继承的权限
对于文件,权限掩码或多或少是不言自明的:R表示您可以读取文件,X允许其执行(作为程序),等等。
对于其他类型的对象,您将必须浏览MSDN:
英文的继承权:
(I) “继承”:此ACE从父容器继承。(OI) “对象继承”:此ACE将由放置在此容器中的对象继承。(CI) “容器继承”:此ACE将由放置在此容器中的子容器继承。(IO)“仅继承”:此ACE将被继承(请参阅OI和CI),但不适用于此对象本身。(NP)“不要传播”:这个ACE将对象和子容器继承一个级别深度 -它不会应用到里面的东西子容器。对于文件系统,“容器”表示文件夹,“对象”表示文件,但是请记住,可以在许多其他类型的对象上设置ACL,但并非所有对象都具有“容器”的概念。
(I)提到过icacls /?。它还具有两个单独的“删除”权限- (D)以前在第一个列表中具有,(DE)而在第二个列表中具有。参见ss64.com/nt/icacls.html。从那以后看起来情况发生了些微变化。