Windows-Dateisystem leidet, warum bekomme ich Zugriff verweigert?
Seit dem NTFS-Dateisystem Von FAT nach NTFS nach ZFS: Demystifizierte Dateisysteme von FAT nach NTFS bis ZFS: Dateisysteme demystifiziert Verschiedene Festplatten und Betriebssysteme verwenden möglicherweise unterschiedliche Dateisysteme. Hier ist, was das bedeutet und was Sie wissen müssen. Read More wurde als Standardformat in den Consumer-Editionen von Windows (ab Windows XP) eingeführt. Die Benutzer hatten Probleme mit dem Zugriff auf ihre Daten auf internen und externen Laufwerken. Einfache Dateiattribute sind nicht mehr die einzige Ursache für Probleme beim Suchen und Verwenden ihrer Dateien. Jetzt müssen wir uns mit Datei- und Ordnerberechtigungen herumschlagen, wie einer unserer Leser herausfand.
Die Frage unseres Lesers:
Ich kann keine Ordner auf meiner internen Festplatte sehen. Ich habe den Befehl ausgeführt “attrib -h -r -s / s / d” und es zeigt Zugriff auf jeden Ordner verweigert. Ich kann mit dem Befehl Ausführen zu Ordnern wechseln, sehe aber keine Ordner auf meiner Festplatte. Wie kann ich das beheben??
Bruce's Antwort:
Hier sind einige sichere Annahmen, die auf den Informationen beruhen, die wir gegeben haben: Das Betriebssystem ist Windows XP oder höher. Das verwendete Dateisystem ist NTFS. Der Benutzer verfügt nicht über Vollzugriffsberechtigungen für den Teil des Dateisystems, den Sie bearbeiten möchten. Sie befinden sich nicht im Administrator-Kontext. Die Standardberechtigungen für das Dateisystem wurden möglicherweise geändert.
Alles In Windows ist ein Objekt ein Objekt, egal ob es sich um einen Registrierungsschlüssel, einen Drucker oder eine Datei handelt. Obwohl sie die gleichen Mechanismen verwenden, um den Benutzerzugriff zu definieren, beschränken wir uns auf Dateisystemobjekte, um sie so einfach wie möglich zu halten.
Zugangskontrolle
Sicherheitsalarm Rot: 10 Computer-Sicherheitsblogs, denen Sie heute folgen sollten Rotalarm: 10 Computer-Sicherheitsblogs, die Sie heute befolgen sollten Sicherheit ist ein entscheidender Bestandteil des Computerwesens. Sie sollten sich darum bemühen, sich selbst zu informieren und auf dem Laufenden zu bleiben. Sie sollten sich diese zehn Sicherheitsblogs und die Sicherheitsexperten ansehen, die sie schreiben. Bei Read More jeder Art dreht sich alles ums Controlling Wer kann etwas tun? auf dem zu sichernden Objekt. Wer hat die Schlüsselkarte, um das Tor zu öffnen, um das Gelände zu betreten? Wer hat die Schlüssel, um das Büro des CEO zu eröffnen? Wer hat die Kombination, um den Safe in seinem Büro zu öffnen?
Das gleiche Denken gilt für die Sicherheit von Dateien und Ordnern in NTFS-Dateisystemen. Jeder Benutzer des Systems hat keinen berechtigten Grund, auf jede Datei im System zuzugreifen, und auch nicht alle müssen denselben Zugriff auf diese Dateien haben. So wie jeder Mitarbeiter in einem Unternehmen keinen Zugriff auf den Safe im Büro des CEO oder die Möglichkeit haben muss, Unternehmensberichte zu ändern, obwohl er diese möglicherweise lesen darf.
Berechtigungen
Windows steuert den Zugriff auf Dateisystemobjekte (Dateien und Ordner), indem Berechtigungen für Benutzer oder Gruppen festgelegt werden. Diese geben an, welche Art von Zugriff der Benutzer oder die Gruppe auf das Objekt hat. Diese Berechtigungen können auf entweder festgelegt werden ermöglichen oder verweigern eine bestimmte Zugriffsart, die entweder explizit für das Objekt festgelegt werden kann oder implizit durch Vererbung aus dem übergeordneten Ordner.
Die Standardberechtigungen für Dateien sind: Vollzugriff, Ändern, Lesen und Ausführen, Lesen, Schreiben und Speziell. Ordner haben eine andere spezielle Berechtigung, die als Ordnerinhalt auflisten bezeichnet wird. Diese Standardberechtigungen sind vordefinierte Sätze von erweiterte Berechtigungen Diese ermöglichen eine detailliertere Steuerung, werden jedoch normalerweise nicht außerhalb der Standardberechtigungen benötigt.
Zum Beispiel die Lesen und ausführen Die Standardberechtigung umfasst die folgenden erweiterten Berechtigungen:
- Ordner durchsuchen / Datei ausführen
- Listenordner / Daten lesen
- Attribute lesen
- Lesen Sie die erweiterten Attribute
- Berechtigungen lesen
Zugriffssteuerungslisten
Jedem Objekt im Dateisystem ist eine Zugriffssteuerungsliste (Access Control List, ACL) zugeordnet. Die ACL ist eine Liste von Sicherheitskennungen (SIDs), die Berechtigungen für das Objekt haben. Das Local Security Authority Subsystem (LSASS) vergleicht die SID, die mit dem Zugriffstoken verbunden ist, das dem Benutzer bei der Anmeldung mit den SIDs in der ACL für das Objekt zugewiesen ist, auf das der Benutzer zugreifen möchte. Wenn die SID des Benutzers mit keiner der SIDs in der ACL übereinstimmt, wird der Zugriff verweigert. Wenn er übereinstimmt, wird der angeforderte Zugriff basierend auf den Berechtigungen für diese SID gewährt oder verweigert.
Es gibt auch eine Auswertungsreihenfolge für Berechtigungen, die berücksichtigt werden müssen. Explizite Berechtigungen haben Vorrang vor impliziten Berechtigungen, und Ablehnungsberechtigungen haben Vorrang vor Berechtigungsberechtigungen. In der Reihenfolge sieht es so aus:
- Explizites Ablehnen
- Explizite Erlaubnis
- Implizite Ablehnung
- Implizite Erlaubnis
Standard Root Directory Berechtigungen
Die Berechtigungen, die im Stammverzeichnis eines Laufwerks erteilt werden, variieren geringfügig, je nachdem, ob das Laufwerk das Systemlaufwerk ist oder nicht. Wie in der Abbildung unten zu sehen ist, hat ein Systemlaufwerk zwei separate ermöglichen Einträge für authentifizierte Benutzer. Es gibt eine Möglichkeit, mit der authentifizierte Benutzer Ordner erstellen und Daten an vorhandene Dateien anhängen können, ohne jedoch vorhandene Daten in der Datei zu ändern, die nur für das Stammverzeichnis gelten. Mit dem anderen können authentifizierte Benutzer Dateien und Ordner in Unterordnern ändern, wenn der Unterordner Berechtigungen vom Stamm erbt.
Die Systemverzeichnisse (Windows, Programmdaten, Programmdateien, Programmdateien (x86), Benutzer oder Dokumente und Einstellungen und möglicherweise andere) erben ihre Berechtigungen nicht vom Stammverzeichnis. Da es sich um Systemverzeichnisse handelt, werden ihre Berechtigungen explizit festgelegt, um zu verhindern, dass Betriebssystem, Programm und Konfigurationsdateien versehentlich oder böswillig durch Malware oder einen Hacker geändert werden.
Wenn es sich nicht um ein Systemlaufwerk handelt, besteht der einzige Unterschied darin, dass die Gruppe "Authentifizierte Benutzer" über einen einzigen Eintrag "Zulassen" verfügt, der die Berechtigung zum Ändern von Berechtigungen für den Stammordner, die Unterordner und die Dateien zulässt. Alle für die 3 Gruppen und das SYSTEM-Konto zugewiesenen Berechtigungen werden auf dem gesamten Laufwerk vererbt.
Problemanalyse
Als unser Poster lief Attrib Wenn Sie versuchen, alle System-, ausgeblendeten und schreibgeschützten Attribute für alle Dateien und Ordner zu entfernen, die mit dem (nicht angegebenen) Verzeichnis beginnen, in dem sie sich befanden, haben sie Meldungen erhalten, aus denen hervorgeht, dass die gewünschte Aktion (Schreibattribute) abgelehnt wurde. Abhängig von dem Verzeichnis, in dem sie den Befehl ausgeführt haben, ist dies wahrscheinlich eine sehr gute Sache, besonders wenn sie in C: \ waren..
Statt den Befehl auszuführen, wäre es besser gewesen, die Einstellungen in Windows Explorer / Datei-Explorer so zu ändern, dass versteckte Dateien und Verzeichnisse angezeigt werden. Dies kann leicht erreicht werden, indem Sie zu gehen Organisieren> Ordner- und Suchoptionen im Windows Explorer oder Datei> Ordner und Suchoptionen ändern im Datei-Explorer. Wählen Sie im daraufhin angezeigten Dialogfeld die Option Registerkarte "Ansicht"> Ausgeblendete Dateien, Ordner und Laufwerke anzeigen. Wenn diese Option aktiviert ist, werden ausgeblendete Verzeichnisse und Dateien als abgeblendete Elemente in der Liste angezeigt.
Wenn die Dateien und Ordner immer noch nicht angezeigt werden, liegt ein Problem mit der erweiterten Berechtigung "Ordner auflisten / Daten lesen" vor. Entweder der Benutzer oder eine Gruppe, zu der der Benutzer gehört ausdrücklich oder implizit verweigert diese Berechtigung für die betreffenden Ordner, oder der Benutzer gehört keiner der Gruppen an, die Zugriff auf diese Ordner haben.
Sie werden möglicherweise gefragt, wie der Leser direkt zu einem dieser Ordner gehen kann, wenn der Benutzer nicht über die Berechtigungen Ordner auflisten / Daten lesen verfügt. Solange Sie den Pfad zu dem Ordner kennen, können Sie zu diesem Ordner wechseln, sofern Sie über die erweiterten Berechtigungen zum Durchsuchen des Ordners / zum Ausführen der Datei verfügen. Dies ist auch der Grund dafür, dass es wahrscheinlich nicht zu einem Problem mit der Standardberechtigung für Ordnerinhalte auflisten kommt. Es hat beide dieser erweiterten Berechtigungen.
Die Auflösung
Mit Ausnahme von Systemverzeichnissen werden die meisten Berechtigungen in der Kette vererbt. Der erste Schritt besteht darin, das Verzeichnis zu identifizieren, das dem Stamm des Laufwerks am nächsten liegt, wo die Symptome auftauchen. Wenn dieses Verzeichnis gefunden wurde, klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften> Registerkarte "Sicherheit". Überprüfen Sie die Berechtigungen für jede der aufgelisteten Gruppen / Benutzer, um zu überprüfen, ob sie in der Spalte Zulassen die Berechtigung Ordnerinhalt auflisten können und nicht in der Spalte Ablehnen.
Wenn keine Spalte markiert ist, lesen Sie auch den Eintrag Besondere Berechtigungen. Wenn dies aktiviert ist (entweder zulassen oder ablehnen), klicken Sie auf die Schaltfläche Erweitert dann Taste Berechtigungen ändern im daraufhin angezeigten Dialogfeld, wenn Sie Vista oder eine neuere Version ausführen. Dadurch wird ein nahezu identisches Dialogfeld mit einigen zusätzlichen Schaltflächen angezeigt. Wählen Sie die entsprechende Gruppe aus und klicken Sie auf Bearbeiten Stellen Sie sicher, dass die Berechtigung Listenordner / Daten lesen zulässig ist.
Wenn die Checks ausgegraut sind, bedeutet dies, dass es sich um ein geerbte Erlaubnis, Das Ändern sollte im übergeordneten Ordner erfolgen, es sei denn, es gibt einen zwingenden Grund, dies nicht zu tun, z. B. das Profilverzeichnis eines Benutzers, und das übergeordnete Element wäre der Ordner Users oder Documents & Settings. Es ist auch nicht ratsam, Berechtigungen für einen zweiten Benutzer hinzuzufügen, um auf das Profilverzeichnis eines anderen Benutzers zugreifen zu können. Melden Sie sich stattdessen als dieser Benutzer an, um auf diese Dateien und Ordner zuzugreifen. Wenn etwas freigegeben werden soll, verschieben Sie sie in das öffentliche Profilverzeichnis oder verwenden Sie die Registerkarte Freigabe, um anderen Benutzern den Zugriff auf die Ressourcen zu ermöglichen.
Es ist auch möglich, dass der Benutzer nicht berechtigt ist, die Berechtigungen der betreffenden Dateien oder Verzeichnisse zu bearbeiten. In diesem Fall sollte Windows Vista oder höher eine Benutzerkontensteuerung (UAC) enthalten. Stoppen Sie die nervigen UAC-Eingabeaufforderungen - Erstellen einer Whitelist für die Benutzerkontensteuerung [Windows] Stoppen Sie lästige UAC-Eingabeaufforderungen - Erstellen einer Whitelist der Benutzerkontensteuerung [Windows] Ever Seit Windows Vista sind wir Windows-Benutzer von der Benutzerkontensteuerung (User Account Control, UAC), die besagt, dass ein Programm gestartet wird, das wir absichtlich gestartet haben, belästigt, geärgert und müde. Klar, es hat sich verbessert, und Sie werden aufgefordert, das Administratorkennwort oder die Berechtigung zum Erhöhen der Berechtigungen des Benutzers für die Erlaubnis dieses Zugriffs einzugeben. Unter Windows XP sollte der Benutzer den Windows Explorer mit der Option Ausführen als öffnen und das Administratorkonto verwenden. Windows-Administratorkonto: Alles, was Sie wissen müssen Windows-Administratorkonto: Alles, was Sie wissen müssen Mit Windows Vista, dem integrierten Windows-Administrator, beginnen Konto ist standardmäßig deaktiviert. Sie können es aktivieren, aber auf eigenes Risiko! Wir zeigen Ihnen wie. Lesen Sie weiter, um sicherzustellen, dass die Änderungen vorgenommen werden können, wenn sie nicht bereits mit einem Administratorkonto ausgeführt werden.
Ich weiß, dass viele Leute Ihnen nur sagen würden, die betreffenden Verzeichnisse und Dateien in Besitz zu nehmen, aber es gibt eine enorm Vorbehalt bei dieser Lösung. Wenn dies Auswirkungen auf Systemdateien und / oder Verzeichnisse haben würde, würde dies die Gesamtsicherheit Ihres Systems erheblich beeinträchtigen. Es sollte noch nie Sie können dies in den Verzeichnissen root, Windows, Benutzer, Dokumente & Einstellungen, Programme, Dateien (x86), Programmdaten oder inetpub oder in einem ihrer Unterordner tun.
Fazit
Wie Sie sehen, sind Berechtigungen auf NTFS-Laufwerken nicht übermäßig schwierig, aber die Suche nach der Ursache von Zugriffsproblemen kann auf Systemen mit vielen Verzeichnissen langwierig sein. Mit einem Grundverständnis darüber, wie Berechtigungen mit Zugriffssteuerungslisten und etwas Beharrlichkeit funktionieren, wird das Auffinden und Beheben dieser Probleme bald ein Kinderspiel.
Erfahren Sie mehr über: Dateiverwaltung, Dateisystem, NTFS.