Erläutern Sie die Ausgabe von ICACLS.EXE Zeile für Zeile und Element für Element

Was bedeutet das:

C:\foo\> icacls .
. NT AUTHORITY\IUSR:(M)
  BUILTIN\IIS_IUSRS:(M)
  BUILTIN\IIS_IUSRS:(OI)(CI)(M)
  NT AUTHORITY\IUSR:(OI)(CI)(M)
  BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX)
  NT AUTHORITY\IUSR:(I)(OI)(CI)(RX)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(F)

Ich denke, die erste bedeutet, dass Benutzer-ID Änderungsberechtigungen für das Verzeichnis erhält - was bedeutet, dass Benutzer Dateien erstellen oder Dateien aktualisieren oder Dateien löschen können. Richtig? Was ist die "NT AUTHORITY \ IUSR" user? Ist das wirklich eine einzelne Benutzer-ID? Ist es die Standard-IIS-Benutzer-ID?

ok, die zweite Zeile Ich denke, bezieht sich auf eine Gruppe. Es erhält die gleichen Berechtigungen.

Was ist mit all jenen Linien mit (I) und (OI) und so weiter. Bitte erkläre.

Von dem Microsoft - Artikel auf ICACLS

Die Einträge sind Benutzer und Gruppen spezifisch für diese Datei (DOMAIN \ USER oder GROUP), sind die Berechtigungen wie folgt aufgelistet:

SIDs können entweder in numerischer oder in Anzeigenamenform vorliegen. Wenn Sie eine numerische Form verwenden, fügen Sie das Platzhalterzeichen * am Anfang der SID ein.

icacls behält die kanonische Reihenfolge der ACE-Einträge wie folgt bei:

• Explizite Ablehnungen
• Explizite Zuschüsse
• Vererbte Ablehnungen
• Geerbte Zuschüsse

Perm ist eine Berechtigungsmaske, die in einer der folgenden Formen angegeben werden kann:

1. Eine Folge einfacher Rechte:
   • F (Vollzugriff)
   • M (Zugriff ändern)
   • RX (Lese- und Ausführungszugriff)
   • R (schreibgeschützter Zugriff)
   • W (Nur-Schreibzugriff)
2. Eine durch Kommas getrennte Liste in Klammern mit bestimmten Rechten:
   • D (löschen)
   • RC (Lesesteuerung)
   • WDAC (Schreib DAC)
   • WO (Eigentümer schreiben)
   • S (synchronisieren)
   • AS (access Systemsicherheit)
   • MA (maximal erlaubt)
   • GR (generic Lese)
   • GW (generisches Schreiben)
   • GE (generisches Execute)
   • GA (generic alle)
   • RD (Daten lesen / Listenverzeichnis)
   • WD (Schreibdaten / Add - Datei)
   • AD (Daten anhängen / Unterverzeichnis hinzufügen)
   • REA (erweiterte Attribute lesen)
   • WEA (erweiterte Attribute schreiben)
   • X (AUSFÜHREN / traverse)
   • DC (löschen Kind)
   • RA (Leseattribute)
   • WA (Schreibeigenschaften)

Vererbungsrechte können vor jedem Perm- Formular stehen und gelten nur für Verzeichnisse:

• (OI) : Objekt erben
• (CI) : Container erben
• (IO) : nur erben
• (NP) : Vererben Sie nicht
• (I) : vom übergeordneten Container geerbte Berechtigung

Für Dateien sind die Berechtigungsmasken mehr oder weniger selbsterklärend: Rbedeutet, dass Sie die Datei lesen können, Xdass sie ausgeführt werden kann (als Programm) und so weiter.

Für andere Arten von Objekten müssen Sie MSDN durchsuchen:

• Standard Zugriffsrechte
• ACE-Vererbungsregeln
• Registrierung
• Bedienung
• ...

Erbrechte in Englisch:

• (I) "Inherited": Dieser ACE wurde vom übergeordneten Container geerbt.
• (OI) "Object inherit": Dieser ACE wird von Objekten geerbt, die in diesem Container platziert sind.
• (CI) "Container erben": Dieser ACE wird von Subcontainern geerbt, die sich in diesem Container befinden.
• (IO)"Nur erben": Dieser ACE wird geerbt (siehe OIund CI), gilt jedoch nicht für dieses Objekt.
• (NP)"Nicht verbreiten": Dieser ACE wird an Objekte und Subcontainer mit einer Tiefe von einer Ebene vererbt - er gilt nicht für Objekte in Subcontainern.

Für das Dateisystem „Behälter“ einen Ordner und „Objekt“ ist eine Datei, aber denken Sie daran, dass der ACLs kann auf vielen anderen Arten von Objekten festgelegt werden, von denen nicht alle ein Konzept des „Containers“ haben.