Zpět na seznam článků     Číst komentáře (8)     Verze pro tisk

Využití systémového účtu ve Windows

Autor: .cCuMiNn.   
30.7.2012

Trapnou chybou se mi podařilo odebrat oprávnění ke sdílené složce skupině uživatelů „users“. Bohužel to mělo za následek odepření přístupu všem uživatelům včetně administrátora. Protože hledání na webu nepřineslo řešení a s podobným případem se setkává více lidí, rozhodl jsem se sepsat postup, jak z této situace vybruslit a práva zdárně nastavit zpět.


Stejné chyby se čas od času bohužel dopustí mnoho z těch, kteří chtějí na Windows serverech zamezit v přístupu ke (sdílené) složce všem běžným uživatelům a povolují přístup pouze pár privilegovaným jedincům. Člověk by řekl, že je správným řešením nastavit všechna potřebná práva vybranému uživateli, skupině „administrátors“ ponechat práva všechna a následně odebrat přístup skupině „users“.


Problém

Systém oprávnění je ve Windows nastaven tak, že má odepření práv přednost před jejich povolením, na což systém důrazně upozorní.


Kdo ovšem toto upozornění podcení a řekne si, že v roli administrátora bude mít vždy možnost případnou chybu napravit, ten se šíleně mílí. Administrátoři totiž také náleží do skupiny „users“ a tak má odebrání oprávnění přednost před skutečností, že uživatel náleží také do skupiny „administrators“, která má potřebná práva k dispozici.

Ať se pak snažíte ke složce přistoupit jakkoliv, vždy obdržíte pouze varování „Access denied“, které dokáže člověka dohnat k zoufalství. První, co mě napadlo, bylo odebrat administrátorský účet v doméně ze skupiny „users“ a ponechat jej pouze ve skupině administrátorů. Bohužel systém si trval na tom, že není možné odebrat zařazení uživatele z defaultní skupiny a změnit defaultní skupinu také nešlo. Dokonce i nově vytváření uživatelé se bez ptaní zakládali do skupiny „users“ a vytvoření nového účtu tedy ke zdárnému řešení rovněž nevedlo.


Řešení

Práva ke složce má naštěstí ještě systémový účet „SYSTEM“, do kterého jsem vkládal všechny naděje. Jak však tento systémový účet přesvědčit, aby dané složce změnil práva? Vzpomněl jsem si na techniku, kterou jsem popisoval ve zdejším webfóru. Jde o využití plánovače úloh ke spuštění příkazového řádku s právy „SYSTÉM“. Jedinou podmínkou jsou administrátorská práva, se kterými naplánujeme spuštění úlohy příkazem:

AT 10:00 /INTERACTIVE CMD.EXE

Přepínač /INTERACTIVE ovšem funguje dobře na systému XP, kdežto na Windows Serveru 2003 se mi spuštění procesu na ploše aktuálně přihlášeného uživatele nepodařilo. Musel jsem proto namísto příkazového řádku spustit rovnou příkaz pro úpravu oprávnění složky. Tímto příkazem je ICACLS, který jsem chtěl spustit s těmito parametry:

ICACLS "d:\shared\nazev slozky" /reset

Protože by bylo vkládání tohoto řetězce jako parametru příkazu AT příliš problematické, uložil jsem jej nejprve do souboru C:\PRAVA.BAT. Následně jsem v příkazové řádce zadal následující příkaz a vyčkal do spuštění úlohy (lze ji spustit i ručně v plánovači úloh):

AT 10:00 C:\PRAVA.BAT

Podle očekávání se příkaz provedl se systémovými právy a vrátil oprávnění dotčené složky do výchozího stavu, abych si mohl užívat nově nabytých práv. Snad se tedy tento postup bude někdy někomu hodit.

Odzkoušeno na Windows server 2003


Líbil se Vám článek?
Budeme potěšeni, pokud vás zaujme také reklamní nabídka

Social Bookmarking

     





Hodnocení/Hlasovalo: 2.33/9

1  2  3  4  5    
(známkování jako ve škole)