如何使用命令行对文件夹做到NTFS绝对控制(禁止其他程序或用户更改文件夹的NTFS权限)？

gwsbhqt

villana 发表于 2013-11-23 22:23
我说说我的理解，如果其他账户不是管理员，那他就没有权限修改文件的所有者，自然就无法修改所有者不属于他 ...

哈哈~原来你会的~有自己的理解的~好啦~感谢分享哦~

gwsbhqt

woxihuan2011 发表于 2013-11-23 21:05
管理员组的即可.要禁止修改文件夹,可以先将用户组全部删除,然后再重新分配拒绝修改权限,注意系统文件不要 ...

谢谢版主大大耐心的解答，略受宠若惊的赶脚~
你的意思是把文件夹的ntfs的控制列表删的只剩一个everyone用户和创建修改这文件夹的system用户？，然后将两个都全部拒绝所有操作？！
然后就只有system用户可以修改那个文件夹的ntfs权限设置了吗？其他的会不会一律拒绝？

villana

gwsbhqt 发表于 2013-11-23 22:43
哈哈~原来你会的~有自己的理解的~好啦~感谢分享哦~

对于班门弄斧与贻笑大方这样的事情我也不总是喜欢做

woxihuan2011

gwsbhqt 发表于 2013-11-23 22:45
谢谢版主大大耐心的解答，略受宠若惊的赶脚~
你的意思是把文件夹的ntfs的控制列表删的只剩一个everyone用 ...

全部的都删,然后系统会让你分配权限.如果把所有用户的修改权限全部拒绝的话,那么system也不能修改了.如果是完全拒绝的话,system足也不能访问此文件了.

gwsbhqt

woxihuan2011 发表于 2013-11-23 22:50
全部的都删,然后系统会让你分配权限.如果把所有用户的修改权限全部拒绝的话,那么system也不能修改了.如果 ...

不行呐，如果到时候别人想取消免疫，那不就失败了吗？这样就显得我太流氓了，我觉得还是留个system的后路，你怎么看？
另外，删除访问控制列表项的命令是...真心不知道...求教...cacls可以吗？我只知道cacls可以用于更改权限~
我现在去搜一下，但也请简要的科普一下，好吗~谢谢了~

woxihuan2011

gwsbhqt 发表于 2013-11-23 23:13
不行呐，如果到时候别人想取消免疫，那不就失败了吗？这样就显得我太流氓了，我觉得还是留个system的后 ...

在cacls命令中有一个/D user命令可以拒绝指定用户的对文件的访问.

gwsbhqt

woxihuan2011 发表于 2013-11-23 23:23
在cacls命令中有一个/D user命令可以拒绝指定用户的对文件的访问.

(＃°Д°)！啊啊啊啊啊啊啊...
这/D参数就是我一直在用的~他只能拒绝某一组或是用户的操作权限而无法将他从列表中删除~囧囧...
对了，话说/D和/R有什么区别吗？
/r user 取消指定用户的访问权限
/d user 拒绝指定用户的访问

gwsbhqt

翼风Fly 发表于 2013-11-23 20:34
我能说的真心不多啊。。。
1、给我的感觉，是分情况的：①当前操作的用户组是管理员组，拥有一定的控制权。 ...

资料找了很多，实验也做了，和你分享一下：
.
1.我所说的只有文件夹所有者才有权修改NTFS权限设置的前提是，文件夹的控制列表为空或是只剩所有者一人！不可以出现其他什么组什么组的，否则很容易失败~
在a用户中创建个文件夹，清空了ACL后，切换b用户，果然啥都干不了...都变灰色了...
.
2.cmd.exe获取system权限有三种方法
一是工具法：可以用PsExec提升cmd权限
二是服务法，就是你给出的方法
三是命令法：目前at计划任务命令可以提权，其他Schtasks，有待考证
.
给你复制一段资料：
.
用 http://www.microsoft.com /china/technet/sysinternals /utilities/pstools.mspx的PsExec提升explorer权限，或提升cmd权限在命令提示符下删

1．PsExec命令提升进程特权

我们可以借助PsExec命令工具以SYSTEM身份运行进程。我们已经知道只有SYSTEM帐户才能访问C:\System Volume Information文件夹，所以这里可以借助PsExec命令打开CMD命令提示符窗口，然后在命令提示符下运行DIR命令查看该文件下的内容，步骤如下：

⑴ 以管理员身份登录系统，打开CMD命令提示符窗口。

⑵ 在命令提示符下运行以下命令，以SYSTEM帐户身份打开另一个CMD窗口。

PsExec -i -d -s CMD

⑶ 在新打开的命令提示符窗口下运行以下命令：

DIR /a "C:\System Volume Information"

即可查看C:\System Volume Information文件夹下的内容，如下图所示。这说明当前的命令以SYSTEM帐户身份运行。

提示 如果对以上结果有所怀疑，可以打开任务管理器，然后在“进程”标签页查看CMD进程的用户是否为SYSTEM。

2．AT命令提升进程特权(不推荐，因为我用at提权运行regedit后，发现重启电脑再运行regedit都是以SYSTEM)

由AT命令启动的计划任务，默认以SYSTEM特权运行。这里举个例子，借助AT命令以SYSTEM特权启动注册表编辑器，以便查看HKLM\SAM注册表项。

⑴ 以管理员身份登录系统，打开CMD命令提示符窗口。

⑵ 假设当前系统时间是13:19。

⑶ 然后运行以下命令，让系统在13:24时自动启动注册表编辑器：

at 13:24 /interactive C:\WINDOWS\regedit.exe

命令参数/interactive表示以交互模式启动注册表编辑器，必须加上该命令参数，否则将无法看到启动的注册表编辑器。

⑷ 到了下午13:24，就会自动用LocalSystem帐户的身份启动注册表编辑器，然后尝试访问HKLM\SAM注册表项，现在应该可以看到其下的内容。

提示

⑴ Internet上的某些脚本文件声称可以提升系统权限，其实质就是运用AT命令。

⑵ 尽管可以用“Schtasks /ru SYSTEM”命令以SYSTEM特权运行某个进程，但是这时候无法以交互模式访问进程，也就是说我们无法看到以SYSTEM特权运行的进程。

woxihuan2011

gwsbhqt 发表于 2013-11-24 00:01
(＃°Д°)！啊啊啊啊啊啊啊...
这/D参数就是我一直在用的~他只能拒绝某一组或是用户的操作权限而无法将 ...

在图形界面下有此选项的./D和/R区别就在取消意味着用户已经有访问权限,而拒绝的时候用户可以已经有也可以暂时没有文件的访问权限.