¿Cómo les doy a los administradores acceso a una carpeta sin destruir los permisos actuales?

12

Tengo una carpeta a la que no puedo acceder desde una cuenta que forma parte del grupo Administradores en Windows 7.

Si aparece la pestaña Seguridad en las propiedades, veo "No tiene permiso para ver o editar la configuración de permisos de este objeto".

Si hago clic en avanzado y voy a la pestaña del propietario, me dice que es "No se puede mostrar el propietario actual".

Puedo obtener acceso a la carpeta reasignando la propiedad, pero esto destruye los permisos actuales en la carpeta.

Entonces, ¿hay alguna forma de dar acceso a los administradores a la carpeta sin tomar el control y destruir los permisos actuales?

Nigel Hawkins
fuente
Tomar posesión no destruye (o al menos no debería) destruir los permisos actuales en la carpeta. (Acabo de probar esto y funcionó como se esperaba: los permisos no cambiaron). Para estar seguro, es posible que prefiera usar la herramienta de línea de comandos, takeown, en lugar de las herramientas de la GUI. Esta herramienta definitivamente no cambiará los permisos.
Harry Johnston
Bueno, después de tomar posesión, no puedo ver ningún permiso, excepto la cuenta que acaba de tomar posesión. Otras carpetas parecen comportarse correctamente. Supongo que es posible que la carpeta se haya creado sin ningún permiso para nadie o que se hayan eliminado todos, pero parece extraño.
Nigel Hawkins el
El proceso de apropiación no debería haber cambiado los permisos, ni siquiera al agregar su cuenta. ¿Utilizó la herramienta de línea de comandos takeown o el cuadro de diálogo Configuración de seguridad avanzada de Explorer?
Harry Johnston
Intenté en ambos sentidos. Como dije, otras carpetas parecen comportarse correctamente cuando se cambia el propietario. Llegué a la conclusión de que, para empezar, debe haber tenido permisos para nadie. Así que parecía que había eliminado todos los permisos anteriores cuando tomé posesión.
Nigel Hawkins

Respuestas:

12

Una excavación cuidadosa revela que tomar posesión a veces destruye los permisos existentes y otras no. Todo parece depender de si intentas hacerlo de forma recursiva . Tenga en cuenta que Windows le advierte cuando va a reemplazar los permisos existentes, pero (al menos en la GUI) es muy fácil simplemente aceptar el mensaje sin leerlo o comprenderlo por completo.

Para verlo, necesitará un directorio (c: \ SomeFolder en este ejemplo) que es propiedad de una cuenta de usuario diferente y al cual usted y el grupo de administradores tienen acceso cero.

Línea de comando

Usando la herramienta de línea de comando "takeown":

TAKEOWN / A / R / F c: \ SomeFolder

deberías ver algo como

ÉXITO: ​​El archivo (o carpeta) "c: \ SomeFolder" ahora es propiedad del grupo de administradores.

No tiene permisos para leer el contenido del directorio "c: \ SomeFolder"

¿Desea reemplazar los permisos de directorio con permisos que le otorgan control total ("Y" para SÍ, "N" para NO, "C" para CANCELAR)?

Tenga en cuenta que si responde que sí aquí, realmente significa reemplazar los permisos. Cualquier permiso existente se destruirá. Si responde que no, aún no tiene permisos en la carpeta, pero ahora es el propietario, por lo que puede otorgarse permisos normalmente y sin destruir ninguno que ya exista.

Si no especifica la bandera recursiva (/ R), no recibe la advertencia y el propietario cambia sin afectar ningún otro permiso.

GUI

Deberá usar la pestaña "seguridad" de la ventana de propiedades para modificar cualquier cosa a través de la GUI. Esto le da dos botones: "continuar" y "avanzado". Avanzado le ofrece una ventana con las cuatro pestañas: "permisos", "auditoría", "propietario" y "permisos efectivos". Continuar le proporciona solo la pestaña "propietario".

Si selecciona un nuevo propietario y marca la casilla "aplicar a subcarpetas", al presionar Aceptar o aplicar aparece el cuadro de mensaje "¿Desea reemplazar los permisos" que, de nuevo, realmente significa reemplazar los permisos. Si no marca la casilla de subcarpetas, no recibirá la advertencia y todo se comportará como se espera.

Es muy fácil no leer completamente este cuadro de mensaje, suponga que es solo otro cuadro que le pide que confirme algo no destructivo y simplemente presione Intro para aceptarlo. También es muy fácil suponer que no podrían realmente significar reemplazar porque nadie en su sano juicio querría hacer eso.

Nigel Hawkins
fuente
3

Si no aparece en la lista como "puede leer / cambiar los permisos" en la ACL de la carpeta, no puede cambiarlos, sin importar quién o qué sea. Todos los usuarios, administradores, incorporados, incluso nt authority\system, son tratados por igual por el código de seguridad. (El privilegio "Tomar posesión" de todo el sistema es una excepción, pero tampoco puede modificar la ACL, solo restablecerla).

Debe iniciar sesión como alguien a quien se le permita hacer esto, ya sea directamente (nombre de usuario + contraseña) o, si tiene mucho tiempo libre, haciendo algo de SeCreateTokenPrivilege magia .

usuario1686
fuente
¿Puedo agregar ese permiso al grupo de administradores?
Nigel Hawkins el
2
Eso no es cierto. El propietario de un archivo siempre puede leer y modificar los permisos, y tomar posesión no cambia los permisos por sí mismo.
Harry Johnston el
1
Además, tenga en cuenta que un programa que se ejecuta como administrador puede leer los permisos y la propiedad de cualquier archivo utilizando el privilegio de copia de seguridad. MS simplemente no ha proporcionado ningún programa para hacer esto. :-(
Harry Johnston
1
Ah, y también puede usar el privilegio de restauración para cambiar los permisos y la propiedad.
Harry Johnston el
1
@grawity: acabo de repetir el experimento (usando una ACL que no me otorgó permiso) y la ACL no se restableció cuando tomé posesión. ¿Está seguro de que no está pensando en el cuadro de diálogo "Haga clic en Continuar para obtener acceso permanente a esta carpeta" de Explorer, en lugar del cuadro de diálogo Propietario de la pestaña de seguridad?
Harry Johnston
0

Está bien usar la casilla de verificación "Reemplazar propietario en subcontenedores y objetos" resaltada en verde. No está bien demandar la casilla de verificación "Reemplazar todas las entradas de permisos de objetos secundarios" resaltada en rojo. El último reemplazará las ACL existentes (permisos) en lugar de simplemente cambiar el propietario. Cuadro de diálogo de seguridad NTFS

Iconiu
fuente
¿Asumo que este es un diálogo de Windows 10? La versión de Windows 7 no tiene esa casilla de verificación.
Nigel Hawkins