web-dev-qa-db-ja.com

NTFSアクセス許可-「継承元」?

NTFS外付けハードディスクを持っています。これは主に1台のラップトップで使用されていましたが、その後そのラップトップは交換されました。新しいラップトップでは、すべてのファイルが読み取り専用になっていることがわかりました。 「読み取り専用」チェックボックスはオフになっていますが、問題の原因はACLのようです。

すべてのファイルで、ACLの書き込み可能なアクセス許可は、SYSTEM、Admistrators、および「S-1-5-21 -....」(古いラップトップのアカウントのアカウント番号)のみであると想定しています。 「詳細」をクリックすると、この権限は「継承元」「E:」と表示されます。ただし、E:\でACLリストを開くと、「S-1-5-21 ...」に関連するアクセス許可が表示されません。なぜですか?

とにかく、このデバイスを新しいユーザーのアカウントに大規模に更新して、書き込みを行うことはできますか?

編集:これは外付けドライブであり、マシンについて少し共有されます。これを行うためのより良い方法はありますか?

編集:古いマシンはWindows Vistaで、新しいマシン(私が作業しているマシン)はWindows7です。

3
Thanatos

はいあります。この外付けハードドライブのすべてのアクセス許可を本当にリセットしたい場合は、上部のACLを変更してから、[すべての子オブジェクトのアクセス許可エントリを置き換える...]チェックボックスをオンにします。これにより、そのポイントより下のすべてのファイルとディレクトリが、最上位に割り当てたACLで設定されます。これで古いSIDがクリーンアップされ、再び機能するようになります。

そもそもなぜこれが起こったのかは非常に簡単です。 NTFSアクセス許可は、各オブジェクト(ファイルとディレクトリ)に明示的に設定されます。継承するものを設定すると、Windowsはそのポイントより下の各ファイルとフォルダーに継承を設定し、[継承のブロック]に設定されているディレクトリをスキップします。 500万個のファイルとフォルダがあるファイルシステムの場合、これにはかなりの時間がかかる可能性があります。その500万のファイルツリーに何かを設定した場合そして途中でキャンセルした場合一部のファイルとフォルダのみがその権限を持ちます。設定されたものは、上から継承されていることを示しますが、それが(奇妙なことに)最後に設定されるため、オブジェクトには表示されません。それをクリーンアップするには、上記の手順を実行するか、アクセス許可を強制的に下げるか、最上位のオブジェクトにその1つのアクセス許可を設定して、ツリーに完全に浸透させてから再度削除する必要があります。

名前のないSIDがある場合(あなたが持っているように)、権利を設定してから設定を解除することによってそれを削除することもできます。 Windows 7を想定:

icacls E:\ /grant S-1-5-21-....:(oi)(ci)(m)

それがどこにでも適用されたら、それを削除します。

icacls E:\ /remove S-1-5-21-...
4
SysAdmin1138

これは、「作成者/所有者」の権利が割り当てられていることが原因である可能性もあります。ユーザーがファイルを作成すると、特定のユーザーがファイルのACLに追加されます。ユーザーが削除された場合、「作成者/所有者」は継承されているため、マップされていないSIDは残り、削除できません。 。修正は、「作成者/所有者」権限が継承されている場所を特定し、そのフォルダから削除することです。継承ブロックが設定されていない限り、問題は解決するはずです。

1
Doormatt

NTFSでフォーマットされた外付けドライブは、1台のマシンのユーザーのみがドライブにアクセスできるように、内蔵ドライブおよびセットアップ権限のように機能します。管理者アカウントは通常、ドライブ上のすべてがNTFSの奇妙な癖に対して行うことをすべて確認できます。

NTFSハードドライブに設定されているほとんどすべてのアクセス許可は、ユーザーの表示名ではなくセキュリティID番号を使用します。 「S-1-5-21 ...」番号は、NTFSドライブにフォルダを作成したユーザーアカウントのセキュリティIDです。 NTFSは、ユーザーのセキュリティIDがコンピューター間で変更されない場合にドメインで使用するために設計されました。マシンを切り替えたので、あなたはドメインの一部ではないと思います。

私が見つけたのは、外付けドライブのルートにある「Everyone」ユーザーに変更権限を付与することです。処理には少し時間がかかりますが、どのアカウントでもドライブにアクセスできるようにドライブが開きます。

これにより、誰でもドライブ上のファイルを簡単に編集できるというセキュリティリスクが発生します。心配な場合は、ドライブを暗号化することでその懸念を軽減できます。ほとんどの人はこれらのドライブを使用してファイルを渡し、誰もがファイルを読み取れるようにします。

お役に立てれば

1
Doltknuckle