Übernehmen des Besitzes von Dateien mit 'broken' - Berechtigungen

Ich versuche, zu überwinden, die folgende situation.

Einem gegebenen Verzeichnis gespeichert auf einem NTFS-volume, wo:

  1. Das Verzeichnis Eigentümer festgelegt ist, jemand anderes (ein nicht-privilegierter Benutzer z.B.)
  2. Der Verzeichnis-ACL konfiguriert ist, um Zugriff zu einer bestimmten Gruppe von Menschen, die nicht das system oder Administratoren
  3. Der DACL für das Verzeichnis tatsächlich gewährt keinen Zugang zu entweder den Besitz übernehmen oder ändern der DACL

(oder, kurz gesagt, alle Administratoren gesperrt wurden, aus dem Ordner)

Aber!

  1. Das Konto läuft bei mir unter administrative Rechte besitzt (SeBackupPrivilege, SeSecurityPrivilege)
  2. Der vorhandenen DACL kann ignoriert werden, Schreibe ich einen neuen sowieso
  3. Mit anderen tools (takeown.exe), bekomme ich Zugriff auf das Verzeichnis, in Frage.

(oder in kurz, ich habe Zugang zum fixieren der DACL/Eigentümer)

Sollte ich kein problem haben, mit dem folgenden code:

WindowsIdentity privilegedUser = System.Security.Principal.WindowsIdentity.GetCurrent();

//I cannot use File.GetAccessControl() as I get access denied
//(working as intended! I have no access to read the ACL!)
//so I have to write a new ACL:
FileSecurity acl = new FileSecurity();
acl.SetOwner(admin.User);
acl.AddAccessRule(new FileSystemAccessRule(privilegedUser.User, FileSystemRights.FullControl, AccessControlType.Allow));

File.SetAccessControl("c:\\path\\to\\broken", acl);

Aber, die SetAccessControl Anruf wirft UnauthorizedAccessException. Wenn ich es ändern, nur justieren Sie den Besitzer, das gleiche passiert. Wenn ich nur versuchen Sie die DACL, die gleiche Sache.

Ich habe festgestellt, dass das Problem nicht die UAC durch die überprüfung der resultierenden Prozess im Process Explorer, und verifiziert, dass die Administratoren-Gruppe auf "Besitzer" statt "Deaktiviert." Ich sollte haben alle notwendigen Rechte, dies zu tun (Sicherungs-Operatoren sein sollte Fremdwasser in das Gesicht von Administratoren, aber ich habe es zum testen) - aber es hält nur werfen Zugriff verweigert.

Relevanten technet-Dokumentation: http://technet.microsoft.com/en-us/library/cc783530%28WS.10%29.aspx

  • "Wenn Sie ein Objekt, die Sie gewähren können, alle Benutzer oder die Sicherheit der Gruppe jeder die Berechtigung für dieses Objekt, einschließlich der Genehmigung in Besitz zu nehmen."
  • Eigentum übertragen werden kann, haben Sie folgende Möglichkeiten:
    • Der aktuelle Besitzer gewähren kann, die Take ownership-Berechtigung an einen anderen Benutzer, so dass Benutzer in Besitz zu nehmen und zu jeder Zeit. Der Benutzer muss auch tatsächlich in Besitz nehmen zu übertragen. (Leider ist der Besitzer nicht zuweisen Besitz in dieser situation.)
    • Ein administrator kann den Besitz übernehmen.
    • Ein Benutzer die Dateien und Verzeichnisse user-rechten kann die Inhaberschaft an alle Benutzer oder Gruppe.
  • Die Möglichkeit zum übernehmen des Besitzes von Dateien und anderen Objekten ist ein weiterer Fall, wo ein administrator muss zur Wartung des Systems Vorrang vor einem Eigentümer das Recht auf Zugangskontrolle. Normalerweise können Sie ein Objekt in Besitz nehmen nur zu, wenn seine aktuelle Besitzer gibt Ihnen die Erlaubnis, dies zu tun. Besitzer von NTFS-Objekte können zulassen, dass ein anderer Benutzer den Besitz übernehmen, die durch die Gewährung der andere Benutzer die Take Ownership-Berechtigung; Besitzer der Active Directory-Objekte können erteilen Sie einem anderen Benutzer Ändern Eigentümer Erlaubnis. Ein Benutzer mit diesem Privileg können ein Objekt in Besitz nehmen, ohne den aktuellen Besitzer um Erlaubnis Fragen. Standardmäßig wird die Berechtigung zugewiesen wird, nur um der integrierten Gruppe "Administratoren". Es ist in der Regel von Administratoren verwendet, um zu nehmen, und weisen Sie Eigentum an Ressourcen, wenn Ihre aktuelle Besitzer ist nicht mehr verfügbar.

Was vermisse ich hier?

InformationsquelleAutor Kyle Brantley | 2011-03-09
  1. 7

    Ich hatte das gleiche problem und nur die Entsendung hier für jemand anderes, die möglicherweise kommen hier auf der Suche wie ich:

    Müssen Sie diese explizit aktivieren SeTakeOwnershipPrivilege in den code. Ich fand Prozess-Privilegien wirklich hilfreich sind im Umgang mit dieser Art der Sache.

    Ist hier, wie es meine Feste code (scheint aus irgendeinem Grund, obwohl ich das Privileg habe, ist der Prozess nicht, wenn ich explizit aktivieren):

    using (new ProcessPrivileges.PrivilegeEnabler(Process.GetCurrentProcess(), Privilege.TakeOwnership))
{
    directoryInfo = new DirectoryInfo(path);
    directorySecurity = directoryInfo.GetAccessControl();

    directorySecurity.SetOwner(WindowsIdentity.GetCurrent().User);
    Directory.SetAccessControl(path, directorySecurity);    
}

    PS: Danke Simon.. deine Antwort hat mir ein Ort, um zu starten aus.

    • Das war ja mein problem! Good ol' UAC. Und ja, danke Simon für den starter, wenn nichts anderes.
    • Ich hatte dieses problem und ich hatte nicht einmal die UAC aktiviert haben... aber das funktioniert hat!
    • Es ist nichts mit der UAC. Privilegien haben immer so gearbeitet, lange bevor die UAC wurde eingeführt; wenn Sie diese verwenden möchten, müssen Sie es Ihnen ermöglichen, erste. (Vermutlich so, dass der Programmierer keinen nutzen von Privilegien durch Fehler.)
    • Wenn ich diesen code ausführen und testen von Privileg.TakeOwnership es zeigt, wie Entfernt. Ich kann nicht scheinen, um herauszufinden, alle docs, wie auf "add" zurück
    • verwendest du das Programm als admin? (das Recht auf run as admin Sache). Solange die run as Benutzer Zugriff hat, Privileg, läuft im admin Modus sollte übertragen Sie das Privileg, zu verarbeiten
    InformationsquelleAutor Maverik
  2. 6

    Müssen Sie in Besitz zu nehmen, bevor Sie zugreifen.

    using (var user = WindowsIdentity.GetCurrent())
{
    var ownerSecurity = new FileSecurity();
    ownerSecurity.SetOwner(user.User);
    File.SetAccessControl("c:\\path\\to\\broken", ownerSecurity);

    var accessSecurity = new FileSecurity();
    accessSecurity.AddAccessRule(new FileSystemAccessRule(user.User, FileSystemRights.FullControl, AccessControlType.Allow));
    File.SetAccessControl("c:\\path\\to\\broken", accessSecurity);
}

    Auch wenn Sie DirectorySecurity müssen Sie diese 

    using (var user = WindowsIdentity.GetCurrent())
{
    var ownerSecurity = new DirectorySecurity();
    ownerSecurity.SetOwner(user.User);
    Directory.SetAccessControl("c:\\path\\to\\broken", ownerSecurity);

    var accessSecurity = new DirectorySecurity();
    accessSecurity.AddAccessRule(new FileSystemAccessRule(user.User, FileSystemRights.FullControl, AccessControlType.Allow));
    Directory.SetAccessControl("c:\\path\\to\\broken", accessSecurity);
}

    Wenn das nicht funktioniert, versuchen Sie, diese

    http://blog.mikeobrien.net/2009/11/taking-ownership-and-setting-admin.html

    • Vielen Dank, Simon. Ich wurde kämpfen mit diesem für eine Weile. Ich habe gelesen das Mark ' s im MSDN-Artikel, die ich bin froh, dass ich Tat, aber es war dein post, die den Tag gerettet.
    • Der code in Mike O ' Briens blog funktionierte perfekt für mich.
    InformationsquelleAutor Simon
Schreibe einen Kommentar