Windows - Hozzáférés-vezérlő listák megjelenítése

A Windows 2000 Resource Kit csomag egyik eszközével parancssorból megtekinthetjük az NTFS kötetünkön található fájlokhoz vagy mappákhoz tartozó hozzáférést vezérlő listákat. Cikkünkben bemutatjuk az eszközt, és példával is illusztráljuk működését.
A Windows 2000 Resource Kit parancssori eszköze, a ShowACLs felsorolja a fájlokhoz, mappákhoz, faszerkezetekhez tartozó hozzáférési jogokat. Segítségével maszkolható a kigyűjtés megadott listákra.
A ShowACLs csak NTFS partíciókon működik.
A leginkább hasznos tulajdonsága az eszköznek, hogy megjeleníti egy megadott felhasználó jogosultságait. A módszer, amelyet a ShowACLs használ, hogy mindezt megvalósítsa, az, hogy sorba veszi a helyi és globális csoportokat, amelyeknek a megadott felhasználó a tagja, és megfelelteti a biztonsági azonosítóját (SID) a felhasználónak és a csoportnak, a hozzáférési vezérlő lista (ACL) bejegyzéseivel.
Az NTFS az ACL listákat arra használja, hogy jogosultságokat állítson be a felhasználókhoz és a csoportokhoz az objektumokon. Az ACL-ek a hozzáférési vezérlőelemekből (ACE) épülnek fel. Minden ACE bejegyzés információval rendelkezik, amely vezérli a jogosultságait egy megadott felhasználónak vagy csoportnak. Jelenleg négy ACE típus definiált; Access Allowed – engedélyezett hozzáférés, Access Denied – tiltott hozzáférés, System Alarm – rendszerriasztás, System Audit – rendszerfelügyelet. Minden ACE bejegyzésnek egy általános ACE fejléce van, valamint egyedi adatstruktúrája. Az adott ACE bejegyzéshez megfeleltetett SID az ACE fejléc után található meg.
Az egyik probléma a ShowACLs szerű parancssori eszközökkel az információmennyiség, amelyet az ACL tartalmaz. Az első verziója a ShowACLs-nek megpróbált megjeleníteni minden adatot a hozzáférési maszkban, amely nagyon összetéveszthető volt. A legutóbbi verzió a "standard" jogosultságokat fogadta be, Full, Change és Read-Only jogosultságokat ott, ahol helyénvaló. Ha egy maszk nem egyezik ezekkel az előre definiált értékekkel, akkor egy ömlesztett maszk áll elő.
Szintaxis
showacls [/s] [/u:domain\user] [filespec]
Ahol:
  • /s: alkönyvtárakat is beszámítja
  • /u:domain\user: meghatározott tartomány\felhasználó
Értékek ACE fejléc értékek
0x1 Az objektum örökli az ACE-t.
0x2 A tároló örökli az ACE-t.
0x4 Nem propagálja az öröklődő ACE-t.
0x8 Csak az ACE öröklődik.
Hozzáférési maszkértékek
  • D - Delete. Engedélyezi, vagy tiltja egy fájl vagy mappa törlését. Ha nincs törlési jogunk egy fájlon vagy mappán, akkor csak úgy törölhetjük, ha almappa- és fájltörlési jogunk van a felette elhelyezkedő könyvtárra.
  • a - File Append. Az adathozzáfűzés engedi, vagy tiltja változtatások létrehozását a fájl végétől, de nem jelent változtatást, törlést vagy felülírást a meglévő adatokra (csak fájlokra érvényesíthető).
  • fx - File Execute. Programok futtatásának engedélyezése vagy tiltása (csak fájlokra érvényes).
  • r - File Read. Engedélyezi, vagy tiltja egy fájl vagy mappa attribútumainak megtekintését, pl.: read-only vagy hidden. Az attribútumokat az NTFS definiálja.
  • w - File Write. Engedi, vagy tiltja egy fájl tartalmának írását, felülírását (csak fájlra vonatkozhat).
  • A - Generic All. Általánosan mindent enged, vagy tilt.
  • X - Generic Execute. Programok futtatásának engedélyezése vagy tiltása (csak fájlokra érvényes).
  • R - Generic Read. Engedélyezi, vagy tiltja egy fájl vagy mappa attribútumainak megtekintését, pl.: read-only vagy hidden. Az attribútumokat az NTFS definiálja.
  • W - Generic Write. Egy fájl, vagy mappa attribútumainak változtatását teszi lehetővé, vagy tiltja.
  • l - List Directory. Mappa, vagy almappa neveinek megtekintését engedélyezi, vagy tiltja (csak mappára vonatkozhat).
  • d - Read Data. Fájladatok megtekintésének engedélyezése vagy tiltása. (csak fájlokra vonatkozhat).
  • rE - Read EA. Fájlokra, mappákra vonatkozó kiterjesztett attribútumok megtekintésének engedélyezése, tiltása. A kiterjesztett attribútumokat programok definiálhatják.
  • S - Synchronize. Különálló szálak számára engedi, vagy tiltja, hogy várjon a fájl kezelésével, és szinkronizálja a kezelést más szálakkal. Ez a jogosultság csak a többszálú, több folyamatot kezelő programokra vonatkozik.
  • rW - Write EA. Kiterjesztett attribútumok módosításának lehetőségét nyújtja, vagy tiltja.