Qu'est-ce que ça veut dire:
C:\foo\> icacls . . NT AUTHORITY\IUSR:(M) BUILTIN\IIS_IUSRS:(M) BUILTIN\IIS_IUSRS:(OI)(CI)(M) NT AUTHORITY\IUSR:(OI)(CI)(M) BUILTIN\IIS_IUSRS:(I)(OI)(CI)(RX) NT AUTHORITY\IUSR:(I)(OI)(CI)(RX) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(F)
Je pense que le premier signifie que userid reçoit des autorisations de modification sur le répertoire, ce qui signifie que l'utilisateur peut créer des fichiers, mettre à jour des fichiers ou supprimer des fichiers. Droite? Quel est l'utilisateur "NT AUTHORITY \ IUSR"? Est-ce vraiment un identifiant d'utilisateur unique? Est-ce l'ID utilisateur IIS par défaut?
D'accord, la deuxième ligne, je pense, fait référence à un groupe. Il obtient les mêmes autorisations.
Qu'en est-il de toutes ces lignes avec (I) et (OI) et ainsi de suite. S'il vous plaît, expliquez.
De l' article Microsoft sur ICACLS
Les entrées sont des utilisateurs et des groupes spécifiques à ce fichier (DOMAIN \ USER ou GROUP), les autorisations répertoriées sont les suivantes:
Les SID peuvent être sous forme nominative ou numérique. Si vous utilisez une forme numérique, apposez le caractère générique * au début du SID.
Icacls conserve l'ordre canonique des entrées ACE comme suit :
- Dénits explicites
- Subventions explicites
- Inherited Denials
- Subventions héritées
Perm est un masque de permission qui peut être spécifié sous l'une des formes suivantes:
- Une séquence de droits simples:
- F (accès complet)
- M (modifier l'accès)
- RX (accès lecture et exécution)
- R (accès en lecture seule)
- W (accès en écriture uniquement)
- Une liste séparée par des virgules entre parenthèses de droits spécifiques:
- D (supprimer)
- RC (contrôle de lecture)
- WDAC ( Write DAC)
- WO (propriétaire de l'écriture)
- S (synchroniser)
- AS (sécurité du système d'accès)
- MA (maximum autorisé)
- GR (lecture générique)
- GW (écriture générique)
- GE (exécution générique)
- GA (générique tout)
- RD (lire le répertoire des données / liste)
- WD (écrire des données / ajouter un fichier)
- AD (ajouter un sous-répertoire de données / ajouter)
- REA (lire les attributs étendus)
- WEA (écrire des attributs étendus)
- X (exécuter / parcourir)
- DC (supprimer l'enfant)
- RA (lire les attributs)
- WA (attributs d'écriture)
Les droits de succession peuvent précéder le formulaire Perm , et ils sont appliqués uniquement aux répertoires:
- (OI) : l'objet hérite
- (CI) : le conteneur hérite
- (IO) : hériter uniquement
- (NP) : ne pas propager hériter
- (I) : autorisation héritée du conteneur parent
Pour les fichiers, les masques d'autorisation sont plus ou moins explicites: R
signifie que vous pouvez lire le fichier, X
permet d'être exécuté (en tant que programme), etc.
Pour d'autres types d'objets, vous devrez parcourir MSDN:
Droits d'héritage en anglais:
(I)
"Inherited": Cet ACE a été hérité du conteneur parent. (OI)
"Objet hériter": Cet ACE sera hérité par des objets placés dans ce conteneur. (CI)
"Container inherit": Cet ACE sera hérité par des sous-conteneurs placés dans ce conteneur. (IO)
"Inherit only": Cet ACE sera hérité (voir OI
et CI
), mais ne s'applique pas à cet objet lui-même. (NP)
"Ne pas propager": cet ACE sera hérité par des objets et des sous-conteneurs d' un niveau de profondeur – il ne s'appliquera pas aux choses à l'intérieur des sous-conteneurs. Pour le système de fichiers, "conteneur" désigne un dossier et "objet", un fichier, mais rappelez-vous que les ACL peuvent être définies sur de nombreux autres types d'objets, pas tous ceux qui ont une notion de «conteneurs».