WinITPro.ru / Windows 10 / Windows Server 2012 R2 / Windows Server 2016 / Как предоставить обычным пользователям права на запуск/остановку служб в Windows
По умолчанию обычные пользователи, не обладающие правами администратора системы, не могут управлять системными (и большинством прикладных) службами Windows. Это означает, что они не могут останавливать, запускать (перезапускать), изменять настройки и разрешения таких служб.
В некоторых случаях все-таки требуется, чтобы у пользователя были права на перезапуск и управление определенными службами. В этой статье мы разберем несколько способов управления правами на службы Windows.
В частности, мы покажем, как предоставить обычному пользователю, без прав администратора Windows, права на запуск, остановку и перезапуск определенной службы.
Предположим, нам нужно предоставить доменной учетной записи contoso user права на перезапуск службы печати (Print Spooler) с системным именем Spooler.
Простого и удобного встроенного инструмента для управления разрешениями на службы в Windows нет. Мы рассмотрим несколько способ предоставления пользователю прав на службу:
Какой из них проще и удобнее – решать Вам.
Встроенная утилита SC.exe (Service controller)
Стандартный, встроенный в Windows способ управления правами на службы системы предусматривает использование утилиты sc.exe (Service Controller).
- Главная, проблема – зубодробительный синтаксис формата предоставления прав на сервис (формат SDDL).
- Получить текущие права на службу можно так:
- sc.exe sdshow Spooler
D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCLCSWRPWPDTLOCRRC;;;SY)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Что значат все эти символы?
S: — System Access Control List (SACL)D: — Discretionary ACL (DACL)
Первая буква после скобок означает: разрешить (A, Allow) или запретить (D, Deny).
Следующая пачка символов – назначаемые права.
CC — SERVICE_QUERY_CONFIG (запрос настроек служы)LC — SERVICE_QUERY_STATUS (опрос состояния служы)SW — SERVICE_ENUMERATE_DEPENDENTS (опрос зависимостей)LO — SERVICE_INTERROGATECR — SERVICE_USER_DEFINED_CONTROLRC — READ_CONTROLRP — SERVICE_START (запуск службы)WP — SERVICE_STOP (остановка службы)
DT — SERVICE_PAUSE_CONTINUE (приостановка, продолжение службы)
Последние 2 буквы, объекты (группа пользователей или SID), котором предоставляются права. Есть список предустановленных групп.
AU Authenticated Users
AO Account operatorsRU Alias to allow previous Windows 2000AN Anonymous logonAU Authenticated usersBA Built-in administratorsBG Built-in guestsBO Backup operatorsBU Built-in usersCA Certificate server administratorsCG Creator groupCO Creator ownerDA Domain administratorsDC Domain computersDD Domain controllersDG Domain guestsDU Domain usersEA Enterprise administratorsED Enterprise domain controllersWD EveryonePA Group Policy administratorsIU Interactively logged-on userLA Local administratorLG Local guestLS Local service accountSY Local systemNU Network logon userNO Network configuration operatorsNS Network service accountPO Printer operatorsPS Personal selfPU Power usersRS RAS servers groupRD Terminal server usersRE ReplicatorRC Restricted codeSA Schema administratorsSO Server operators
SU Service logon user
- Можно вместо предустановленной группы явно указать пользователя или группу по SID. Получить SID пользователя для текущего пользователя можно с помощью команды:
- whoami /user
- или для любого пользователя домена с помощью PowerShell комаднлета Get-ADUser:
- Get-ADUser -Identity 'iipeshkov' | select SID
- К примеру, права пользователю на службу spooler могут быть предоставлены следующей командой:
sc sdset Spooler «D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-2133228432-2794320136-1823075350-1000)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)»
SubInACL: назначаем права на службы с помощью утилиты Sysinternals
Гораздо проще воспользоваться консольной утилитой SubInACL из комплекта Sysinternals от Марка Руссиновича (права на которую вместе с автором теперь принадлежат Microsoft). Синтаксис этой утилиты гораздо проще и удобнее для восприятия. Как предоставить права перезапуска на службу с помощью SubInACL:
- Скачайте msi со страницы (https://www.microsoft.com/en-us/download/details.aspx?id=23510) и установите ее на целевой системе.
- В командной строке с правами администратора перейдите в каталог с утилитой: cd “ C:Program Files (x86)Windows Resource KitsTools)”
- Выполните команду: subinacl.exe /service Spooler /grant=contoso user=PTO
Если нужно предоставить права на службу, запущенную на удаленном компьютере, синтаксис будет такой:subinacl /SERVICE \msk-buh01spooler /grant=contoso user=F
- Осталось войти в данную систему под учетной записью пользователя и попробовать перезапустить службу командами:net stop spoolernet start spooler
Если вы все сделали верно, служба должна остановиться и запуститься заново.
Process Explorer: Установка разрешений на службу
Достаточно просто изменить разрешения на службу с помощью еще одной утилиты Sysinternals — Process Explorer.
Запустите Process Explorer с правами администратора и найдите в списке процессов процесс нужной вам службы. В нашем примере это spoolsv.exe (диспетчер очереди печати — C:WindowsSystem32spoolsv.exe).
Откройте свойства процесса и перейдите на вкладку Services.
Нажмите на кнопку Permissions и в открывшемся окне добавьте пользователя или группу, которой нужно предоставить права на сервис и уровень полномочий.
Шаблон безопасности (Security Template)
Более наглядный (но и требующий большего количества действий) графический способ управления правами на службы – с помощью шаблонов безопасности. Для реализации, откройте консоль mmc.exe и добавьте оснастку Security Templates.
Создадим новый шаблон (New Template).
Задайте имя нового шаблона и перейдите в раздел System Services. В списке служб выберите свою службу Print Spooler и откройте ее свойства.
Установите тип запуска (Automatic) и нажмите кнопку Edit Security.
С помощью кнопки Add добавьте учетную запись пользователя или группы, которым нужно предоставить права. В нашем случае, нам достаточно права Start, Stop and pause.
Сохраните шаблон (Save).
Если открыть этот файл, можно увидеть, что данные о правах доступа сохраняются в уже ранее упомянутом SDDL формате. Полученная таким образом строка может быть использована в качестве аргументы команды sc.exe.
[Unicode]
Unicode=yes
[Version]
signature=»$CHICAGO$»
Revision=1
[Service General Setting]
«Spooler»,2,»D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;RPWPDTRC;;;S-1-5-21-3243688314-1354026805-3292651841-1127)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)»
Осталось с помощью оснастки Security Configuration and Analysis создать новую базу данных (Open Database) и импортировать наш шаблон безопасности из файла Spooler User Rights.inf.
- Применим шаблон, вызвав из контекстного меню команду Configure Computer Now.
- Теперь можно под пользователем проверить, что у него появились права на управление службой Print Spooler.
Управление правами служб через групповые политики
Если нужно раздать пользователям права запуска/остановки сервиса сразу на множестве северов или компьютерах домена, проще всего воспользоваться возможностями групповых политик (GPO).
- Создайте новую или отредактируйте существующую GPO, назначьте ее на нужный контейнер с компьютерами в Active Directory. Перейдите в раздел политик Computer configuration -> Windows Settings -> Security Settings -> System Services.
- Найдите службу Spooler и аналогично ранее рассмотренной методике предоставьте права пользователю. Сохраните изменения.
- Осталось дождаться применения политик на клиентских компьютерах и проверить применение настроек прав службы.
Назначаем разрешения на службу с помощью PowerShell
В галерее TechNet имеется отдельный неофициальный модуль PowerShell для управления разрешениями на разные объекты Windows — PowerShellAccessControl Module (скачать его можно здесь). Этот модуль позволяет он управлять правами на службы. Импортируйте модуль в свою сессию:
- Import-Module PowerShellAccessControl
- Получить эффективные разрешения на конкретную службу из PowerShell можно так:
- Get-Service spooler | Get-EffectiveAccess -Principal corp user
- Чтобы предоставить обычному пользователю права на запуск и остановку службы, выполните:
- Get-Service spooler | Add-AccessControlEntry -ServiceAccessRights Start,Stop -Principal corp user
Итак, мы разобрали несколько способов управления правами на службы Windows, позволяющих предоставить произвольному пользователю любые права на службы системы. В том случае, если пользователю требуется удаленный доступ к службе, без предоставления ему прав локального входа в систему, нужно разрешить пользователю удаленно опрашивать Service Control Manager.
Предыдущая статья Следующая статья
Источник: https://winitpro.ru/index.php/2016/01/29/upravlenie-pravami-na-sluzhby-windows/
Права доступа к файлам в Linux
В операционной системе Linux есть много отличных функций безопасности, но она из самых важных — это система прав доступа к файлам. Linux, как последователь идеологии ядра Linux в отличие от Windows, изначально проектировался как многопользовательская система, поэтому права доступа к файлам в linux продуманы очень хорошо.
И это очень важно, потому что локальный доступ к файлам для всех программ и всех пользователей позволил бы вирусам без проблем уничтожить систему.
Но новым пользователям могут показаться очень сложными новые права на файлы в linux, которые очень сильно отличаются от того, что мы привыкли видеть в Windows.
В этой статье мы попытаемся разобраться в том как работают права файлов в linux, а также как их изменять и устанавливать.
Основные права доступа к файлам в Linux
Изначально каждый файл имел три параметра доступа. Вот они:
- Чтение — разрешает получать содержимое файла, но на запись нет. Для каталога позволяет получить список файлов и каталогов, расположенных в нем;
- Запись — разрешает записывать новые данные в файл или изменять существующие, а также позволяет создавать и изменять файлы и каталоги;
- Выполнение — вы не можете выполнить программу, если у нее нет флага выполнения. Этот атрибут устанавливается для всех программ и скриптов, именно с помощью него система может понять, что этот файл нужно запускать как программу.
Но все эти права были бы бессмысленными, если бы применялись сразу для всех пользователей. Поэтому каждый файл имеет три категории пользователей, для которых можно устанавливать различные сочетания прав доступа:
- Владелец — набор прав для владельца файла, пользователя, который его создал или сейчас установлен его владельцем. Обычно владелец имеет все права, чтение, запись и выполнение.
- Группа — любая группа пользователей, существующая в системе и привязанная к файлу. Но это может быть только одна группа и обычно это группа владельца, хотя для файла можно назначить и другую группу.
- Остальные — все пользователи, кроме владельца и пользователей, входящих в группу файла.
Именно с помощью этих наборов полномочий устанавливаются права файлов в linux. Каждый пользователь может получить полный доступ только к файлам, владельцем которых он является или к тем, доступ к которым ему разрешен. Только пользователь Root может работать со всеми файлами независимо от их набора их полномочий.
Но со временем такой системы стало не хватать и было добавлено еще несколько флагов, которые позволяют делать файлы не изменяемыми или же выполнять от имени суперпользователя, их мы рассмотрим ниже:
Специальные права доступа к файлам в Linux
Для того, чтобы позволить обычным пользователям выполнять программы от имени суперпользователя без знания его пароля была придумана такая вещь, как SUID и SGID биты. Рассмотрим эти полномочия подробнее.
- SUID — если этот бит установлен, то при выполнении программы, id пользователя, от которого она запущена заменяется на id владельца файла. Фактически, это позволяет обычным пользователям запускать программы от имени суперпользователя;
- SGID — этот флаг работает аналогичным образом, только разница в том, что пользователь считается членом группы, с которой связан файл, а не групп, к которым он действительно принадлежит. Если SGID флаг установлен на каталог, все файлы, созданные в нем, будут связаны с группой каталога, а не пользователя. Такое поведение используется для организации общих папок;
- Sticky-bit — этот бит тоже используется для создания общих папок. Если он установлен, то пользователи могут только создавать, читать и выполнять файлы, но не могут удалять файлы, принадлежащие другим пользователям.
Теперь давайте рассмотрим как посмотреть и изменить права на файлы в linux.
Как посмотреть права доступа к файлам в Linux
Конечно, вы можете посмотреть права доступа к файлам в Linux с помощью файлового менеджера. Все они поддерживают эту функцию, но так вы получите неполную информацию. Для максимально подробной информации обо всех флагах, в том числе специальных, нужно использовать команду ls с параметром -l. Все файлы из каталога будут выведены в виде списка, и там будут показаны все атрибуты и биты.
Чтобы узнать права на файл linux выполните такую команду, в папке где находится этот файл:
ls -l
За права файлов в linux тут отвечают черточки. Первая это тип файла, который рассмотрен в отдельной статье. Дальше же идут группы прав сначала для владельца, для группы и для всех остальных. Всего девять черточек на права и одна на тип.
Рассмотрим подробнее, что значат условные значения флагов прав:
- — — нет прав, совсем;
- —x — разрешено только выполнение файла, как программы но не изменение и не чтение;
- -w- — разрешена только запись и изменение файла;
- -wx — разрешено изменение и выполнение, но в случае с каталогом, вы не можете посмотреть его содержимое;
- r— — права только на чтение;
- r-x — только чтение и выполнение, без права на запись;
- rw- — права на чтение и запись, но без выполнения;
- rwx — все права;
- —s — установлен SUID или SGID бит, первый отображается в поле для владельца, второй для группы;
- —t — установлен sticky-bit, а значит пользователи не могут удалить этот файл.
В нашем примере, файл test1 имеет типичные разрешения для программ, владелец может все, группа только чтение и выполнение, а все остальные — только выполнение. Для test2 дополнительно установлен флаг SUID и SGID. А для папки test3 установлен Sticky-bit. Файл test4 доступный всем. Теперь вы знаете как посмотреть права на файл linux.
Как изменить права файла в Linux
Чтобы изменить права на файл в linux вы можете использовать утилиту chmod. Она позволяет менять все флаги, включая специальные. Рассмотрим ее синтаксис:
$ chmod опции категориядействиефлаг файл
Опции сейчас нас интересовать не будут, разве что только одна. С помощью опции -R вы можете заставить программу применять изменения ко всем файлам и каталогам рекурсивно.
Категория указывает для какой группы пользователей нужно применять права, как вы помните доступно только три категории:
- u — владелец файла;
- g — группа файла;
- o — другие пользователи.
Действие может быть одно из двух, либо добавить флаг «+», либо убрать флаг — «-«. Что касается самих прав доступа, то они аналогичны выводу утилиты ls: r — чтение, w — запись, x — выполнение, s — suid/sgid, в зависимости от категории, для которой вы его устанавливаете, t — устанавливает sticky-bit. Например, всем пользователям полный доступ к файлу test5:
- chmod ugo+rwx test5
- Или заберем все права у группы и остальных пользователей:
- chmod go-rwx test5
- Дадим группе право на чтение и выполнение:
- chmod g+rx test5
- Остальным пользователям только чтение:
- chmod o+r test5
- Для файла test6 установим SUID:
- chmod u+s test6
- А для test7 — SGID:
- chmod g+s test7
- Посмотрим что получилось:
- ls -l
Как видите, изменить права на файл в linux очень просто. К тому же вы можете изменить основные права с помощью файлового менеджера.
Выводы
Вот и все, теперь вы знаете не только что такое права доступа к файлам в linux, но и как их посмотреть, и даже как их изменить. Это очень важная тема, в которой действительно стоит разобраться новичкам, чтобы использовать свою систему более полноценно. Если у вас остались вопросы, спрашивайте в х!
На завершение хочу предложить неплохое видео про права доступа в linux:
Источник: https://losst.ru/prava-dostupa-k-fajlam-v-linux
Настройка управления доступом и разрешениями на уровне пользователей
- 06/07/2019
- Время чтения: 12 мин
-
Применяется к: Windows Admin Center, ознакомительная версия Windows Admin CenterApplies to: Windows Admin Center, Windows Admin Center Preview
Если вы еще не сделали этого, ознакомьтесь с параметрами контроля доступом пользователей в Windows Admin CenterIf you haven't already, familiarize yourself with the user access control options in Windows Admin Center
Примечание
В средах рабочей группы или в доменах, не являющихся доверенными, доступ на основе групп в Windows Admin Center не поддерживается.Group based access in Windows Admin Center is not supported in workgroup environments or across non-trusted domains.
Определения ролей доступа к шлюзуGateway access role definitions
Существует две роли для доступа к службе шлюза Windows Admin Center.There are two roles for access to the Windows Admin Center gateway service:
Пользователи шлюза могут подключаться к службе шлюза Windows Admin Center, чтобы через него управлять серверами, но не могут изменять разрешения доступа и механизм проверки подлинности, используемый для аутентификации шлюза.
Gateway users can connect to the Windows Admin Center gateway service to manage servers through that gateway, but they can't change access permissions nor the authentication mechanism used to authenticate to the gateway.
Администраторы шлюза могут настраивать доступ, а также способ выполнения проверки подлинности для пользователей на шлюзе.Gateway administrators can configure who gets access as well as how users authenticate to the gateway.
Просматривать и настраивать параметры доступа в Windows Admin Center могут только администраторы шлюза.Only gateway administrators can view and configure the Access settings in Windows Admin Center. Локальные администраторы на компьютере шлюза всегда являются администраторами службы шлюза Windows Admin Center.
Local administrators on the gateway machine are always administrators of the Windows Admin Center gateway service.
Примечание
Доступ к шлюзу не подразумевает доступ к управляемым серверам, отображаемым шлюзом.Access to the gateway doesn't imply access to managed servers visible by the gateway.
Для управления целевым сервером подключающийся пользователь должен использовать учетные данные (через переданные учетные данные Windows или учетные данные, предоставленные в сеансе Windows Admin Center с помощью действия Управлять как) с административным доступом к этому целевому серверу.
To manage a target server, the connecting user must use credentials (either through their passed-through Windows credential or through credentials provided in the Windows Admin Center session using the Manage as action) that have administrative access to that target server.
Active Directory или группы локальных компьютеровActive Directory or local machine groups
По умолчанию для управления доступом к шлюзу используются Active Directory или группы локальных компьютеров.By default, Active Directory or local machine groups are used to control gateway access.
При наличии домена Active Directory доступом пользователей и администраторов шлюза можно управлять из интерфейса Windows Admin Center.
If you have an Active Directory domain, you can manage gateway user and administrator access from within the Windows Admin Center interface.
На вкладке Пользователи можно указать пользователя, которому нужно предоставить доступ к Windows Admin Center в качестве пользователя шлюза.On the Users tab you can control who can access Windows Admin Center as a gateway user.
По умолчанию, и если не указать группу безопасности, доступ будет иметь любой пользователь, обращающийся к URL-адресу шлюза.By default, and if you don't specify a security group, any user that accesses the gateway URL has access. После добавления одной или нескольких групп безопасности в список пользователей доступ будет ограничен членами этих групп.
Once you add one or more security groups to the users list, access is restricted to the members of those groups.
Если в вашей среде не используется домен Active Directory, доступ контролируется локальными группами Users и Administrators на компьютере шлюза Windows Admin Center.If you don't use an Active Directory domain in your environment, access is controlled by the Users and Administrators local groups on the Windows Admin Center gateway machine.
Проверка подлинности смарт-картыSmartcard authentication
Вы можете принудительно применить проверку подлинности смарт-карты, указав дополнительную необходимую группу для групп безопасности на основе смарт-карты.You can enforce smartcard authentication by specifying an additional required group for smartcard-based security groups.
После добавления группы безопасности на основе смарт-карты пользователь может получить доступ к службе Windows Admin Center, только если он является членом любой группы безопасности и группы смарт-карты, включенной в список пользователей.
Once you have added a smartcard-based security group, a user can only access the Windows Admin Center service if they are a member of any security group AND a smartcard group included in the users list.
На вкладке Администраторы можно указать пользователя, которому нужно предоставить доступ к Windows Admin Center в качестве администратора шлюза.On the Administrators tab you can control who can access Windows Admin Center as a gateway administrator.
Локальная группа администраторов на компьютере всегда будет иметь полный доступ администратора и ее не можно удалить из списка.The local administrators group on the computer will always have full administrator access and cannot be removed from the list.
Добавляя группы безопасности, вы даете членам этих групп разрешения на изменение параметров шлюза Windows Admin Center.By adding security groups, you give members of those groups privileges to change Windows Admin Center gateway settings.
Список администраторов поддерживает проверку подлинности смарт-карты такую же, как и для списка пользователей: с условием AND и для группы безопасности и для группы смарт-карт.The administrators list supports smartcard authentication in the same way as the users list: with the AND condition for a security group and a smartcard group.
Azure Active DirectoryAzure Active Directory
Если ваша организация использует Azure Active Directory (Azure AD), вы можете добавить дополнительный уровень безопасности в Windows Admin Center, требуя для доступа к шлюзу проверку подлинности Azure AD.
If your organization uses Azure Active Directory (Azure AD), you can choose to add an additional layer of security to Windows Admin Center by requiring Azure AD authentication to access the gateway.
Чтобы обеспечить доступ к Windows Admin Center, учетной записи Windows пользователя также следует предоставить доступ к серверу шлюза (даже при использовании проверки подлинности Azure AD).
In order to access Windows Admin Center, the user's Windows account must also have access to gateway server (even if Azure AD authentication is used).
При использовании Azure AD управление правами доступа пользователя и администратора Windows Admin Center осуществляется на портале Azure, а не из пользовательского интерфейса Windows Admin Center.When you use Azure AD, you'll manage Windows Admin Center user and administrator access permissions from the Azure Portal, rather than from within the Windows Admin Center UI.
Доступ к Windows Admin Center при включенной проверке подлинности Azure ADAccessing Windows Admin Center when Azure AD authentication is enabled
В зависимости от используемого браузера некоторые пользователи, обращающиеся к Windows Admin Center с настроенной проверкой подлинности Azure AD, получат дополнительный запрос из браузера, в котором нужно будет указать данные учетной записи Windows для компьютера, на котором установлен Windows Admin Center.
Depending on the browser used, some users accessing Windows Admin Center with Azure AD authentication configured will receive an additional prompt from the browser where they need to provide their Windows account credentials for the machine on which Windows Admin Center is installed.
После ввода этих данных пользователи увидят дополнительный запрос на проверку подлинности Azure Active Directory, для которого требуются учетные данные учетной записи Azure, которой предоставлен доступ к приложению Azure AD в Azure.
After entering that information, the users will get the additional Azure Active Directory authentication prompt, which requires the credentials of an Azure account that has been granted access in the Azure AD application in Azure.
Примечание
Пользователи, учетная запись Windows которых имеет права администратора на компьютере шлюза, не будут получать запрос на проверку подлинности Azure AD.Users who's Windows account has Administrator rights on the gateway machine will not be prompted for the Azure AD authentication.
Настройка проверки подлинности Azure Active Directory для Windows Admin Center (Предварительная версия)Configuring Azure Active Directory authentication for Windows Admin Center Preview
В Windows Admin Center последовательно выберите Параметры > Доступ и используйте выключатель, чтобы включить параметр «Use Azure Active Directory to add a layer of security to the gateway» (Использовать Azure Active Directory для добавления уровня безопасности в шлюз).
Go to Windows Admin Center Settings > Access and use the toggle switch to turn on «Use Azure Active Directory to add a layer of security to the gateway». Если вы не зарегистрировали шлюз в Azure, вам будет предложено сделать это в данный момент.
If you have not registered the gateway to Azure, you will be guided to do that at this time.
По умолчанию все участники клиента Azure AD имеют доступ пользователей к службе шлюза Windows Admin Center.By default, all members of the Azure AD tenant have user access to the Windows Admin Center gateway service.
Доступ администратора к шлюзу Windows Admin Center имеют только локальные администраторы на компьютере шлюза.Only local administrators on the gateway machine have administrator access to the Windows Admin Center gateway.
Обратите внимание, что права локальных администраторов на компьютере шлюза нельзя ограничить. Локальные администраторы могут выполнять любые действия независимо от того, используется ли Azure AD для проверки подлинности или нет.
Note that the rights of local administrators on the gateway machine cannot be restricted — local admins can do anything regardless of whether Azure AD is used for authentication.
Если вы хотите предоставить доступ к службе Windows Admin Center определенным пользователям Azure AD, группам пользователей шлюза или администраторам шлюза, необходимо выполнить следующие действия.If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:
- Перейдите в приложение Azure AD Windows Admin Center на портале Azure, используя гиперссылку, указанную в Параметрах доступа.Go to your Windows Admin Center Azure AD application in the Azure portal by using the hyperlink provided in Access Settings. Примечание. Эта гиперссылка доступна, только если включена проверка подлинности Azure Active Directory.Note this hyperlink is only available when Azure Active Directory authentication is enabled.
- Приложение также можно найти на портале Azure, перейдя в Azure Active Directory > Корпоративные приложения > Все приложения и выполнив поиск по фразе WindowsAdminCenter (приложение Azure AD будет называться WindowsAdminCenter-).You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching WindowsAdminCenter (the Azure AD app will be named WindowsAdminCenter-). Если поиск не дает результатов, убедитесь, что для Показать задано значение Все приложения, а для Состояние приложения, а — Любой и нажмите кнопку «Применить», а затем повторите поиск.If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Найдя приложение, перейдите в раздел Пользователи и группыOnce you've found the application, go to Users and groups
- На вкладке «Свойства» задайте для параметра Требуется назначение пользователей значение «Да».In the Properties tab, set User assignment required to Yes.
После этого доступ к шлюзу Windows Admin Center смогут получить только участники, перечисленные на вкладке Пользователи и группы.Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway. - На вкладке «Пользователи и группы» выберите Добавить пользователя.In the Users and groups tab, select Add user. Для каждого добавляемого пользователя или группы необходимо назначить роль пользователя или администратора шлюза.You must assign a gateway user or gateway administrator role for each user/group added.
После включения проверки подлинности Azure AD служба шлюза перезапустится и вам потребуется обновить браузер.
Once you turn on Azure AD authentication, the gateway service restarts and you must refresh your browser. Вы можете в любое время обновить доступ пользователя к приложению SME Azure AD на портале Azure.
You can update user access for the SME Azure AD application in the Azure portal at any time.
При попытке доступа к URL-адресу шлюза Windows Admin Center пользователям будет предложено войти, используя удостоверение Azure Active Directory.
Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL.
Помните, что пользователи также должны быть членами локальных «Пользователей» на сервере шлюза для доступа к центру администрирования Windows Admin Center.Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.
Пользователи и администраторы могут просматривать текущую учетную запись, с которой они совершили вход, а также выйти из этой учетной записи Azure AD с вкладки Учетная запись
Источник: https://docs.microsoft.com/ru-ru/windows-server/manage/windows-admin-center/configure/user-access-control
Команда iCACLS – управление доступом к файлам и папкам
Команда iCACLS позволяет отображать или изменять списки управления доступом (Access Control Lists (ACLs) ) к файлам и папкам файловой системы. Утилита iCACLS.EXE является дальнейшим усовершенствованием утилиты управления доступом CACLS.EXE.
Управление доступом к объектам файловой системы NTFS реализуется с использованием специальных записей в таблице MFT (Master File Table). Каждому файлу или папке файловой системы NTFS соответствует запись в таблице MFT, содержащая специальный дескриптор безопасности SD (Security Descriptor). Каждый дескриптор безопасности содержит два списка контроля доступа:
System Access-Control List (SACL) — системный список управления доступом .
Discretionary Access-Control List (DACL) — список управления избирательным доступом.
SACL управляется системой и используется для обеспечения аудита попыток доступа к объектам файловой системы, определяя условия при которых генерируется события безопасности. В операционных системах Windows Vista и более поздних, SACL используется еще и для реализации механизма защиты системы с использованием уровней целостности ( Integrity Level, IL).
DACL — это собственно и есть список управления доступом ACL в обычном понимании. Именно DACL формирует правила, определяющие, кому разрешить доступ к объекту, а кому — запретить.
Каждый список контроля доступа (ACL) представляет собой набор элементов (записей) контроля доступа — Access Control Entries, или ACE) . Записи ACE бывают двух типов (разрешающий и запрещающий доступ), и содержит три поля:
пользователя или группы, к которому применяется данное правило
, на которое распространяется данное правило
— разрешающий или запрещающий.
SID — Security ID – уникальный идентификатор, который присваивается каждому пользователю или группе пользователей в момент их создания. Посмотреть примеры SID можно , например с помощью команды WHOAMI /ALL.
Как видим, система управления доступом к объектам NTFS оперирует не именами, а идентификаторами SID.
Поэтому, например нельзя восстановить доступ к файлам и папкам, существовавший для удаленного из системы пользователя, создав его заново с тем же самым именем – он получит новый SID и правила записей ACE, применяемые к старому идентификатору SID, выполняться не будут.
При определении результатов запросов на доступ к объектам файловой системы NTFS применимы следующие правила:
Если в дескрипторе безопасности отсутствует DACL , то объект считается незащищенным, т.е. все имеют к нему неограниченный доступ.
Если DACL существует, но не содержит ни одного элемента ACE, то доступ к объекту закрыт для всех.
Для того чтобы изменить DACL объекта, пользователь (процесс) должен обладать правом записи в DACL (WRITE_DAC — WDAC). Право записи может быть разрешено или запрещено, с помощью утилиты icalc.
exe, но даже если установлен запрет, все равно разрешение на запись имеется хотя бы у одного пользователя владельца файла или папки (поле Owner в дескрипторе безопасности), так как владелец всегда имеет право изменять DAC.
Варианты применения команды iCACLS:
— сохранение DACL для файлов и папок, соответствующих имени, в ACL-файл для последующего использования с командой /restore. Обратите внимание, что метки SACL, владельца и целостности не сохраняются.
— применение ранее сохраненных DACL к файлам в каталоге.
— смена владельца всех соответствующих имен. Этот параметр не предназначен для принудительной смены владельца; используйте для этой цели программу takeown.exe.
— поиск всех соответствующих имен, содержащих ACL с явным упоминанием ИД безопасности.
— поиск всех файлов с неканоническими ACL или длинами, не соответствующими количеству ACE.
— замена ACL на унаследованные по умолчанию для всех соответствующих файлов.
/grant[:r] Sid:perm — предоставление указанных прав доступа пользователя. С параметром :r эти разрешения заменяют любые ранее предоставленные явные разрешения. Без параметра :r разрешения добавляются к любым ранее предоставленным явным разрешениям.
/deny Sid:perm — явный отзыв указанных прав доступа пользователя. Добавляется ACE явного отзыва для заявленных разрешений с удалением этих же разрешений в любом явном предоставлении.
/remove[:[g|:d]] Sid — удаление всех вхождений ИД безопасности в ACL. С параметром :g удаляются все вхождения предоставленных прав в этом ИД безопасности. С параметром :d удаляются все вхождения отозванных прав в этом ИД безопасности.
- /setintegritylevel [(CI)(OI)]уровень — явное добавление ACE уровня целостности ко всем соответствующим файлам. Уровень задается одним из следующих значений:
- /inheritance:e|d|r
- e — включение наследования
- d — отключение наследования и копирование ACE
- r — удаление всех унаследованных ACE
L[ow]: низкий M[edium]: средний H[igh]: высокий Уровню могут предшествовать параметры наследования для ACE целостности, применяемые только к каталогам. Механизм целостности Windows Vista и более поздних версий ОС, расширяет архитектуру безопасности путём определения нового типа элемента списка доступа ACE для представления уровня целостности в дескрипторе безопасности объекта (файла, папки). Новый ACE представляет уровень целостности объекта. Он содержится в системном ACL (SACL), который ранее используемом только для аудита. Уровень целостности также назначается токену безопасности в момент его инициализации. Уровень целостности в токене безопасности представляет уровень целостности (Integrity Level, IL) пользователя (процесса). Уровень целостности в токене сравнивается с уровнем целостности в дескрипторе объекта когда монитор безопасности выполняет проверку доступа. Система ограничивает права доступа в зависимости от того выше или ниже уровень целостности субъекта по отношению к объекту, а также в зависимости от флагов политики целостности в соответствующей ACE объекта. Уровни целостности (IL) представлены идентификаторами безопасности (SID), которые представляют также пользователей и группы, уровень которых закодирован в относительном идентификаторе (RID) идентификатора SID. Наиболее распространенные уровни целостности: SID = S-1-16-4096 RID=0x1000 — уровень Low (Низкий обязательный уровень) SID= S-1-16-8192 RID=0x2000 – уровень Medium (Средний обязательный уровень) SID= S-1-16-12288 RID=0x3000 – уровень High (Высокий обязательный уровень) SID= S-1-16-16384 RID=0x4000 – уровень системы (Обязательный уровень системы).
ИД безопасности могут быть в числовой форме (SID), либо в форме понятного имени (username). Если задана числовая форма, добавьте * в начало ИД безопасности, например — *S-1-1-0. Параметры командной строки iCACLS:
/T — операция выполняется для всех соответствующих файлов и каталогов, расположенных в заданном каталоге.
/C — выполнение операции продолжается при любых файловых ошибках. Сообщения об ошибках по-прежнему выводятся на экран.
- /L — операция выполняется над самой символьной ссылкой, а не над ее целевым объектом.
- /Q — утилита ICACLS подавляет сообщения об успешном выполнении.
- разрешение — это маска разрешения, которая может задаваться в одной из двух форм:
Утилита ICACLS сохраняет канонический порядок записей ACE: Явные отзывы Явные предоставления Унаследованные отзывы Унаследованные предоставления
- N — доступ отсутствует
- F — полный доступ
- M — доступ на изменение
- RX — доступ на чтение и выполнение
- R — доступ только на чтение
- W — доступ только на запись
- D — доступ на удаление
отдельных прав через запятую в скобках:
DE — удаление
RC — чтение WDAC — запись DAC WO — смена владельца S — синхронизация AS — доступ к безопасности системы MA — максимально возможный GR — общее чтение GW — общая запись GE — общее выполнение GA — все общие RD — чтение данных, перечисление содержимого папки WD — запись данных, добавление файлов AD — добавление данных и вложенных каталогов REA — чтение дополнительных атрибутов WEA — запись дополнительных атрибутов X — выполнение файлов и обзор папок DC — удаление вложенных объектов RA — чтение атрибутов WA — запись атрибутов Права наследования могут предшествовать любой форме и применяются только к каталогам:
- (OI) — наследование объектами
- (CI) — наследование контейнерами
- (IO) — только наследование
- (NP) — запрет на распространение наследования
- (I) — наследование разрешений от родительского контейнера
- icacls — запуск без ключей используется для получения краткой справки по использованию команды.
- icacls C:Users — отобразить список управления доступом для папки C:Users. Пример отображаемой информации:
- C:Users NT AUTHORITYсистема:(OI)(CI)(F) BUILTINАдминистраторы:(OI)(CI)(F) BUILTINПользователи:(RX) BUILTINПользователи:(OI)(CI)(IO)(GR,GE) Все:(RX) Все:(OI)(CI)(IO)(GR,GE) Успешно обработано 1 файлов; не удалось обработать 0 файлов
Примеры использования iCACLS:
icacls c:windows* /save D:win7.acl /T — сохранение ACL для всех файлов в каталоге c:windows и его подкаталогах в ACL-файл D:win7.acl. Сохраненные списки ACL позволят восстановить управление доступом к файлам и каталогам в исходное состояние, поэтому, прежде чем выполнять какие-либо изменения, желательно иметь файл сохраненных списков ACL.
Пример данных сохраненных списков доступа ACL:
acpimof.
dll D:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU) addins D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;CIIO;GA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1301bf;;;SY)(A;OICIIO;GA;;;SY)(A;;0x1301bf;;;BA)(A;OICIIO;GA;;;BA)(A;;0x1200a9;;;BU)(A;OICIIO;GXGR;;;BU)(A;OICIIO;GA;;;CO) AppCompat D:AI(A;ID;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;CIIOID;GA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;ID;FA;;;SY)(A;OICIIOID;GA;;;SY)(A;ID;FA;;;BA)(A;OICIIOID;GA;;;BA)(A;ID;0x1200a9;;;BU)(A;OICIIOID;GXGR;;;BU)(A;OICIIOID;GA;;;CO) . . . В тех случаях, когда при выполнении команды iCACLS возникает ошибка, вызванная отказом в доступе к обрабатываемому объекту, можно продолжить выполнение команды, если задан параметр /C:
icacls «C:System Volume Information*» /save D:SVI-C.acl /T /C — сохранение списков управления доступом ACL для всех файлов и подкаталогов каталога C:System Volume Information с продолжением обработки в случае возникновения ошибки. По результатам обработки отображается сообщение о количестве успешно, и не успешно, обработанных файлов.
Для восстановления доступа к файлам и папкам используется параметр /restore:
icacls c:windows /restore D:win7.acl — восстановление списков контроля доступа к файлам и папкам каталога c:windows из ранее сохраненного ACL-файла D:win7.acl.
icacls C:Usersuser1 mpMyfile.doc /grant boss:(D,WDAC) — предоставление пользователю boss разрешений на удаление и запись DAC для файла C:Usersuser1 mpMyfile.doc.
icacls C:Usersuser1 mpMyfile.doc /grant *S-1-1-0:(D,WDAC) — предоставление пользователю с ИД безопасности S-1-1-0 (группа ”Все”) разрешений на удаление и запись DAC для файла C:Usersuser1 mpMyfile.doc . icacls C:Usersuser1 mpMyfile.doc /grant boss:F — предоставление пользователю boss полного доступа к файлу C:Usersuser1 mpMyfile.doc.
Весь список команд CMD Windows
Источник: https://ab57.ru/cmdlist/icacls.html