Задать вопрос
Semisonic
@Semisonic
Разработчик, выдумщик, неравнодушный человек

Изменение доступа для \Program Files в Windows Vista Home Premium?

Всем привет!


Собираюсь сдавать ноут в ремонт для устранения периодически возникающих проблем, хочу сделать для работников сервис-центра новый аккаунт, на случай если им потребуется гонять какие-нибудь тестирующие утилиты.


Хочу лишить этот аккаунт всех прав на \Program Files — чтобы не было лишнего соблазна в игрушки вместо работы резаться, к примеру. Однако, как выяснилось, прав для изменения прав доступа у администраторов нет.


Если присмотреться, есть вот какая хитрость.

Владельцем каталога \Program Files является некто TrustedInstaller. У администраторов два вида специальных разрешений:


1) непосредственно для \Program Files — всё кроме изменения разрешений и смены владельца

2) для подкаталогов и файлов внутри \Program Files — полный доступ


Добавить запрет для нового аккаунта непосредственно в настройки доступа для \Program Files я не могу (permission denied), даже если указываю область действия этого запрета такой же, на какую у меня есть полный доступ. Настраивать же запрет доступа для каждого подкаталога муторно, хотя этот вариант работает.


Буду благодарен, если подскажете элегантное решение поставленной задачи в минимум действий и без изменения текущих настроек доступа для остальных аккаунтов, включая системные.
  • Вопрос задан
  • 5147 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
@rPman
Закрывать доступ на запись в program files? в vista? а с какого фига он у вас открыт? Доступ туда есть только у администратора и только при принятии запроса UAC. Вы все это отключили?

эмм… хотите закрыть доступ к своему компьютеру специалистам, которые его будут чинить? варианты:
* если не хотим чтобы они что то устанавливали и ломали систему (т.е. поломка 100% аппаратная) — не заморачиваясь сделать полный бакап (штатными средствами операционки или ноутбука), и при возврате не глядя откатиться — делов на 3 клика мышкой и час ожидания.
* если не хотим, чтобы к данным не было доступа на чтение (личные порно скрыть) — то тут либо удалить (забакапить на внешнее хранилище), либо зашифровать. Права доступа — это детский лепет, при наличии прямого доступа к оборудованию это не защита.

p.s. не стоит усложнять жизнь ремонтникам, закрывать им доступ, так как для тестирования оборудования почти наверняка понадобятся административные права, а при их наличии, все права на каталоги перенастраиваются.
И еще, по договоренности, вы можете вообще забрать свой винт (только извлекать его может придется в сервисцентре).
Ответ написан
@amirul
> всё кроме изменения разрешений и смены владельца
У администраторов по умолчанию есть SeTakeOwnershipPrivilege, то есть они могут открыть любой объект с WRITE_OWNER доступом. У владельцев объектов всегда есть неявный allow WRITE_DAC доступ, то есть они могут менять разрешения на свои объекты независимо от того, есть ли это allow (или даже deny) ACE на WRITE_DAC.

Короче, нужно сначала «овладеть» объектом (вкладка Owner в Advanced security диалоге или takeown.exe если Вы предпочитаете командную строку). А уж потом можно менять доступ на что угодно.

Если сильно хочется после этих манипуляций можно вернуть владение TrustedInstaller-у.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы