Uprawnienia użytkowników a dostęp do katalogu

[Bartosz]

Nie rozumiem zasady działania uprawnienień w 2003 Serwer.
Gdzie jest zapisane jakie uprawnienia

Użytkownik: Administrator
Członek grupy: Administratorzy (tylko jednej grupy)

Grupa Administratorzy: ma w opisie Administratorzy mają pełny i nieograniczony dostęp do komputera/domeny
Ta grupa nie była nigdy modyfikowana przez nikogo więc powinien być dostęp bo zawsze był.

Katalog: aaa
Zabezpieczenia katalogu->Nazwy grupy i zytkownika:
Administratorzy: wszystkie ptaszki na zezwalaj
System: wszystkie ptaszki na zezwalaj
Twórca-właściciel:ptaszek na uprawnienia specjalne
Uzytkownicy: wszystkie ptaszki na Odmów
Użytkownicy zaawansowani: ptaszki na zapis i wykonania, wyśtwietlanie, odczyt - zezwól
Dziedziczenie wyłaczone

Pomimo tego przy próbie "wejścia" w katalog aaa po zalogowaniu jako administrator dostaję informację:
(...)aaa nie jest dostepny.
Odmowa dostępu.

Po zmianie praw katalogu aaa z:
Uzytkownicy: wszystkie ptaszki na Odmów
na
Uzytkownicy: ptaszki na zapis i wykonania, wyśtwietlanie, odczyt - zezwól

I administrator może już wejśc do katalogu
Gdyby to był Linuks to admin powinien wejść zawsze ale że to jest winda no to parodie się dzieją jak dla mnie skoro admin ma zezwól na wszystko a uprawnienia zwykłego usera go blokują.
Potrafi mi ktoś wyjasnić dlaczego się tak dzieje i co ma wspólnego zwykły uzytkownik z administratorem ?

Uprzedzając ew pytania - Wirusów nie ma ;)
Pozdrawiam

[kajus44]

Dnia Tue, 7 Jun 2011 10:04:05 +0200, Bartosz napisał(a):

> Nie rozumiem zasady działania uprawnienień w 2003 Serwer.

> (...)

> Pomimo tego przy próbie "wejścia" w katalog aaa po zalogowaniu jako administrator dostaję informację:
> (...)aaa nie jest dostepny.
> Odmowa dostępu.
>
> Po zmianie praw katalogu aaa z:
> Uzytkownicy: wszystkie ptaszki na Odmów
> na
> Uzytkownicy: ptaszki na zapis i wykonania, wyśtwietlanie, odczyt - zezwól
>
> I administrator może już wejśc do katalogu

Może ten katalog pozwala tylko wejść do siebie komukolwiek, kiedy nie da
się nic w nim zepsuć, zmienić, pomieszać? Tak jak na różnych serwerach
właściciele serwerów nie mogą podejrzeć poczty która u nich jest bo to
nieetyczne?

[MarkPunk]

> Katalog: aaa
> Zabezpieczenia katalogu->Nazwy grupy i zytkownika:
> Administratorzy: wszystkie ptaszki na zezwalaj
> System: wszystkie ptaszki na zezwalaj
> Twórca-właściciel:ptaszek na uprawnienia specjalne
> Uzytkownicy: wszystkie ptaszki na Odmów

uprawnienia Odmów mają wyższy priorytet od uprawnień zezwól

skoro użytkownik administrator jest w grupie administratorzy i ma zezwól a w grupie użytkownicy ma odmów - to nie ma zmiłuj

generalnie lepiej nie robić odmów tylko odptaszkować zezwól i wówczas powinno Ci to zafungować :)

[Grzegorz Niemirowski]

MarkPunk <mark...@poczta.fm> napisał(a):

> uprawnienia Odmów mają wyższy priorytet od uprawnień zezwól
> skoro użytkownik administrator jest w grupie administratorzy i ma zezwól
> a w grupie użytkownicy ma odmów - to nie ma zmiłuj

A co mają użytkownicy do administratora?

> generalnie lepiej nie robić odmów tylko odptaszkować zezwól i wówczas
> powinno Ci to zafungować :)

--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i Outlook Express: http://www.grzegorz.net/oe/
Uptime: 16 days, 22 hours, 28 minutes and 21 seconds

[JoteR]

"Grzegorz Niemirowski" napisał:

>>> Administratorzy: wszystkie ptaszki na zezwalaj

>>> [...]

>>> Uzytkownicy: wszystkie ptaszki na Odmów

>> uprawnienia Odmów mają wyższy priorytet od uprawnień zezwól

> A co mają użytkownicy do administratora?

No właśnie od Ciebie oczekujemy, że nam to wyjaśnisz ;-)

JoteR

[goomish]

JoteR wrote:

Mogę ja? Mogę ja?
Różnica jest taka, że admin może wyłączyć/znieść nałożone na obiekt
odmowy i braki uprawnień. Użytkownik nie za bardzo (pomijając obiekty,
których jest twórcą-właścicielem). Natomiast w kwestii problemu OP,
Bartosza problem leży pewnie w tym nieszczęsnym 'uprawnienia
specjalne'. Pewnie jest tam coś w stylu 'odmów wszystkim oprócz
właściciela-twórcy (logicznie, bo dosłownie takiej opcji chyba nie ma
do wyklikania). No i (to do Bartosza - "Gdyby to był Linuks to admin
powinien wejść zawsze ale że to jest winda no to parodie się dzieją")
nawet admin zanim otworzy "zablokowany" folder, musi go co najmniej
przejąć na własność.

--
Pozdrawiam,
Tomasz Zenger

[Piotr Krzyżański]

Użytkownik "Grzegorz Niemirowski" <gnthe...@poczta.onet.pl> napisał w wiadomości grup
dyskusyjnych:islc5d$2vbq$1...@opal.icpnet.pl...

> MarkPunk <mark...@poczta.fm> napisał(a):
>> uprawnienia Odmów mają wyższy priorytet od uprawnień zezwól
>> skoro użytkownik administrator jest w grupie administratorzy i ma zezwól
>> a w grupie użytkownicy ma odmów - to nie ma zmiłuj
>
> A co mają użytkownicy do administratora?

Mogą mieć sporo, bo jak admin dodany do grupy użytkowników, to
NTFS wyśle na drzewo takiego admina ;)

Piciu

[Grzegorz Niemirowski]

JoteR <jo...@pf.pl> napisał(a):

> No właśnie od Ciebie oczekujemy, że nam to wyjaśnisz ;-)
> JoteR

OK, tylko wolałbym wklejone wyjście z xcacls zamiast opisu słowno-muzycznego
:)

--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i Outlook Express: http://www.grzegorz.net/oe/

Uptime: 0 days, 0 hours, 10 minutes and 8 seconds

[JoteR]

"Piotr Krzyżański" napisał:

>>> skoro użytkownik administrator jest w grupie administratorzy
>>> i ma zezwól a w grupie użytkownicy ma odmów - to nie ma zmiłuj
>>
>> A co mają użytkownicy do administratora?
>
> Mogą mieć sporo, bo jak admin dodany do grupy użytkowników,
> to NTFS wyśle na drzewo takiego admina ;)

"Użytkownik: Administrator

Członek grupy: Administratorzy (tylko jednej grupy)"

Wygląda na to, że każdy chcąc nie chcąc jest tajnym członkiem grupy
Użytkownicy ;-)

JoteR

[Bartosz]

> (...) No i (to do Bartosza - "Gdyby to był Linuks to admin

> powinien wejść zawsze ale że to jest winda no to parodie się dzieją")
> nawet admin zanim otworzy "zablokowany" folder, musi go co najmniej
> przejąć na własność.
>

Rozumiem, że piszesz teraz o windzie bo linuksie nie musi oto przykład:

[root@amd2 ~]# whoami
root
[root@amd2 bartosz]# ll |grep -i test
drwx------ 2 bartosz bartosz 4096 VI 7 21:42 test
Jak widać tylko właściciel bartosz ma prawo do katalogu a wszyscy inni nic nie mogą a pomimo tego:
[root@amd2 bartosz]# cd test
[root@amd2 test]# ll
razem 4
-rw-r--r-- 1 bartosz bartosz 12 VI 7 21:42 bbb
ładnie admin wszedł do katalogu nie mając uprawnień i nic nie musi zmieniać ;)
To było jako ciekawostka.

Dlatego rozumując po "linuksowemu" proszę się nie dziwić skoro zapobiegawczo administratorom w windzie nadalem prawa do katalogu zezwól na wszystko a pomimo tego nie może admin wejść ;)

[Grzegorz Niemirowski]

Bartosz <lot_nie_c...@algrim.pl> napisał(a):

> Dlatego rozumując po "linuksowemu" proszę się nie dziwić skoro
> zapobiegawczo administratorom w windzie nadalem prawa do katalogu zezwól
> na wszystko a pomimo tego nie może admin wejść ;)

Po pierwsze, to jest zupełnie inny model uprawnień, na NTFS są ACLki wię nie
ma co porównywać.
Natomiast co do Twoje pytania, to sytuacja jest taka, że Administrator jest
w grupie Użytkownicy tylko o tym nie wiesz :) Otóż dałeś odmowę grupie
Użytkownicy. Zajrzyj sobie do niej, kto tam jest? Jest tam m.in. grupa
interaktywna. Co o niej wiemy?
SID: S-1-5-4
Name: Interactive
Description: A group that includes all users that have logged on
interactively. Membership is controlled by the operating system.
No i to by było na tyle :) Administrator logując się interaktywnie zostaje
przypisany do tej grupy automatycznie a więc także do grupy Administratorzy.
Usuwając grupę INTERAKTYWNA z Użytkownicy sprawiamy, że Administrator
dostaje dostęp. Konieczne jest przelogowanie, dlatego wygodnie jest testować
z wiersza polecenia.

--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i Outlook Express: http://www.grzegorz.net/oe/

Uptime: 0 days, 4 hours, 37 minutes and 36 seconds

[Grzegorz Niemirowski]

JoteR <jo...@pf.pl> napisał(a):

> "Użytkownik: Administrator
> Członek grupy: Administratorzy (tylko jednej grupy)"
> Wygląda na to, że każdy chcąc nie chcąc jest tajnym członkiem grupy
> Użytkownicy ;-)
> JoteR

Tak, jest tajnym członkiem :) Ale nie musi :) Wyjaśniłem przed chwilą w
odpowiedzi dla Bartosza.

--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i Outlook Express: http://www.grzegorz.net/oe/

Uptime: 0 days, 4 hours, 44 minutes and 55 seconds

[Mariusz Kruk]

epsilon$ while read LINE; do echo \>"$LINE"; done < "Grzegorz Niemirowski"

>> Dlatego rozumując po "linuksowemu" proszę się nie dziwić skoro
>> zapobiegawczo administratorom w windzie nadalem prawa do katalogu zezwól
>> na wszystko a pomimo tego nie może admin wejść ;)
>Po pierwsze, to jest zupełnie inny model uprawnień, na NTFS są ACLki wię nie
>ma co porównywać.

I co z tego, że ACL?
#v+
poznojuz:/mnt/skladzik2> mount | grep skladzik2
/dev/sdb9 on /mnt/skladzik2 type ext3 (rw,acl)
poznojuz:/mnt/skladzik2> mkdir test
poznojuz:/mnt/skladzik2> chmod 0 test
poznojuz:/mnt/skladzik2> getfacl test
# file: test
# owner: kruk
# group: users
user::---
group::---
other::---

poznojuz:/mnt/skladzik2> sudo ls -la test
total 8
d--------- 2 kruk users 4096 Jun 8 08:37 .
drwxrwxrwt 24 root root 4096 Jun 8 08:37 ..
#v-

--
\------------------------/
| Kr...@epsilon.eu.org | http://www.nieruchomosci.pl/mieszkanie,38804171
| http://epsilon.eu.org/ |
/------------------------\

[Bartosz]

Zgadza się masz w 100% rację.

1) użytkownicy nie mają dostepu a admin ma:
G:\progwin\mozilla
BUILTIN\Administratorzy:(OI)(CI)F
ZARZĄDZANIE NT\SYSTEM:(OI)(CI)F
TWÓRCA-WŁAŚCICIEL:(OI)(CI)(IO)F
BUILTIN\Użytkownicy zaawansowani:(OI)(CI)R

2) użytkownicy i admin mają dostep:
G:\progwin\mozilla BUILTIN\Administratorzy:(OI)(CI)F
ZARZĄDZANIE NT\SYSTEM:(OI)(CI)F
TWÓRCA-WŁAŚCICIEL:(OI)(CI)(IO)F
BUILTIN\Użytkownicy:(OI)(CI)R
BUILTIN\Użytkownicy zaawansowani:(OI)(CI)R

3) użytkownicy i admin nie mają dostępu:
G:\progwin\mozilla
BUILTIN\Użytkownicy:(OI)(CI)(DENY)(dostęp specjalny:)
READ_CONTROL
FILE_READ_DATA
FILE_READ_EA
FILE_EXECUTE
FILE_READ_ATTRIBUTES

BUILTIN\Administratorzy:(OI)(CI)F
ZARZĄDZANIE NT\SYSTEM:(OI)(CI)F
TWÓRCA-WŁAŚCICIEL:(OI)(CI)(IO)F
BUILTIN\Użytkownicy zaawansowani:(OI)(CI)R

Może ktoś bliżej wyjasnić ew rzucić linkiem do tych ustawień specjalnych skąd to się beirze dlaczego i po co?
Z punktu widzenia grupy użytkownicy ma jakies znaczenie czy mają wariant 1 czy wariant 3 ?
Dziekuję wszystkim za wyjaśnienia.

[Grzegorz Niemirowski]

Mariusz Kruk <Marius...@epsilon.eu.org> napisał(a):

> I co z tego, że ACL?

Że działa to inaczej.

> #v+
> poznojuz:/mnt/skladzik2> mount | grep skladzik2
> /dev/sdb9 on /mnt/skladzik2 type ext3 (rw,acl)
> poznojuz:/mnt/skladzik2> mkdir test
> poznojuz:/mnt/skladzik2> chmod 0 test
> poznojuz:/mnt/skladzik2> getfacl test
> # file: test
> # owner: kruk
> # group: users
> user::---
> group::---
> other::---
> poznojuz:/mnt/skladzik2> sudo ls -la test
> total 8
> d--------- 2 kruk users 4096 Jun 8 08:37 .
> drwxrwxrwt 24 root root 4096 Jun 8 08:37 ..
> #v-

I co ma z tego wynikać?

--
Grzegorz Niemirowski
http://www.grzegorz.net/
OE PowerTool i Outlook Express: http://www.grzegorz.net/oe/

Uptime: 0 days, 13 hours, 43 minutes and 38 seconds

[Mariusz Kruk]

epsilon$ while read LINE; do echo \>"$LINE"; done < "Grzegorz Niemirowski"

>> I co z tego, że ACL?
>Że działa to inaczej.

Nie. To wynika z zupełnie innego modelu uprawnień, a nie z samego faktu
zastosowania ACL-i.

>> #v+
>> poznojuz:/mnt/skladzik2> mount | grep skladzik2
>> /dev/sdb9 on /mnt/skladzik2 type ext3 (rw,acl)
>> poznojuz:/mnt/skladzik2> mkdir test
>> poznojuz:/mnt/skladzik2> chmod 0 test
>> poznojuz:/mnt/skladzik2> getfacl test
>> # file: test
>> # owner: kruk
>> # group: users
>> user::---
>> group::---
>> other::---
>> poznojuz:/mnt/skladzik2> sudo ls -la test
>> total 8
>> d--------- 2 kruk users 4096 Jun 8 08:37 .
>> drwxrwxrwt 24 root root 4096 Jun 8 08:37 ..
>> #v-
>I co ma z tego wynikać?

Że przy ACL-ach też root może być omnipotentny.