如何使用命令行对文件夹做到NTFS绝对控制(禁止其他程序或用户更改文件夹的NTFS权限)？

gwsbhqt

是这样的，在上一次求助如何创建路径保留字的提问中没有获得真正的答案...
http://bbs.kafan.cn/thread-1655383-1-1.html现在我想通过修改NTFS权限的方法来达到目的，现在，疑问如下：
.
1.什么身份有权力去修改NTFS权限配置(就是什么用户什么组可以去打勾取消打勾，什么用户身份运行的程序(批处理)有权限使用cacls命令更改文件夹的NTFS权限...)？
我好像记得只有文件所有者才有权力去修改这个文件的NTFS权限，是这样的吗？
.
其实我是想用其他用户登录创建autorun.inf文件夹，修改了NTFS权限后就退出登录，这样我平常用的用户即无权修改这个文件夹的NTFS权限，是这样的吗？
.
2.接着1的疑问，批处理是否可以通过takeown runas命令以system或是其他管理员身份执行，接着修改NTFS的权限？有无可能？而修改的身份是以cmd.exe为准还是以cacls.exe为准？有什么办法实现？
求教！
给跪求教！
@恋爱的夏娜  

@翼风Fly  

@villana  

@remind_me  

@100lj
@woxihuan

翼风Fly

我能说的真心不多啊。。。
1、给我的感觉，是分情况的：①当前操作的用户组是管理员组，拥有一定的控制权。理论上讲，管理员权限比较高的有trustedinstaller，system，administrator（三个里面最低的），实际怎么样就得看你怎么玩了，我不清楚。②文件被赋予的权限不是那么高，能够被该用户组别操控。这一点应该是最重要的。当然，如果遇上①中说的用户，无视此条。
别怪我说的模糊，我也只是盲人摸象而已，没有什么严谨的理论证明。如果觉得不妥，忽略掉我说的即可。

不知道我是不是有误人子弟的嫌疑。。。。。等其他大神纠正。。。。

2、别的不知道。。。身份那个。。以你用管理员身份运行的那个程序为准。

好吧，我发现我还不如不说。。。。


============================
PS：刚刚发现一个命令：

CMD下获得SYSTEM权限
sc Create runsystem binPath= "cmd /K start" type= own type= interact

http://www.hackbase.com/tech/2009-07-06/53629.html

找时间试试。。。

恋爱的夏娜

cmd.exe本身可以用来修改权限么？猪。显然是以cacls为准了。
实现？命令行可以，脚本可以，Windows Powershell可以。

星なる石

表示想玩最高权限……去制作个ghost系统吧……然后你就能为所欲为了

woxihuan2011

好吧,既然如此我也说几句吧.修改文件夹权限是需要管理员权限的.即使文件夹不是你的,你也可以通过替换所有者取得权限.第二个问题修改权限是用cacls.exe修改的.想以system权限运行某个程序,可以使用Psexec工具.具体方法请百度.

gwsbhqt

恋爱的夏娜 发表于 2013-11-23 20:39
cmd.exe本身可以用来修改权限么？猪。显然是以cacls为准了。
实现？命令行可以，脚本可以，Windows Powers ...

我记得好像身份是继承的，比如用批处理执行了某“cacls xxxxxxx”然后cacls.exe就是cmd.exe的子进程了，如果cmd.exe是system权限，那么cacls.exe不也就是system权限了吗？

gwsbhqt

woxihuan2011 发表于 2013-11-23 20:43
好吧,既然如此我也说几句吧.修改文件夹权限是需要管理员权限的.即使文件夹不是你的,你也可以通过替换所有者 ...

我还是不太懂你的意思，到底是谁才有权限修改文件夹的NTFS权限设置？
是 Administrators组和Owner所有者特殊组 双重身份才可以更改么？如果只有一个组身份可不可以？
那什么身份才禁止更改呢？除了同时拥有上面两个组的身份的其他所有组吗？比如说，如果我使用system身份创建了一个文件夹ntfs权限everyone所有操作都拒绝，那当前用户administrator可不可以成功更改该文件夹的ntfs权限配置(又把everyone改成全部允许)？

woxihuan2011

gwsbhqt 发表于 2013-11-23 20:45
我记得好像身份是继承的，比如用批处理执行了某“cacls xxxxxxx”然后cacls.exe就是cmd.exe的子进程了，如 ...

http://markwin.blog.51cto.com/148406/71302,可以看看这里讲到的所有山特吗权限,你会明白许多的.

voldemort12138

gwsbhqt 发表于 2013-11-23 20:57
我还是不太懂你的意思，到底是谁才有权限修改文件夹的NTFS权限设置？
是 Administrators组和Owner所有者 ...

我用命令行是不能把system的权限拿过来的（我强调了是“我”，因为我水平不高）
但是我用了xuetr偷了过来，可以在admin账户中偷取r0然后操纵system的文件夹

woxihuan2011

gwsbhqt 发表于 2013-11-23 20:57
我还是不太懂你的意思，到底是谁才有权限修改文件夹的NTFS权限设置？
是 Administrators组和Owner所有者 ...

管理员组的即可.要禁止修改文件夹,可以先将用户组全部删除,然后再重新分配拒绝修改权限,注意系统文件不要这么改,否则系统无法启动或者正常运行.你也可以将某个文件设置成专用,这样别人就不好修改了.