Llistes de control d'accés en Windows

De WikiCat IT
Dreceres ràpides: navegació, cerca

En Windows, per controlar l'accés a arxius a usuaris no autoritzats cal fer servir la comanda cacls

A continuació veurem un exemple en el qual es necessita:

  • Dos usuaris (usuari1 i usuari2)
  • Dues carpetes dins de mis documentos de l'usuari1: Confidencial i Dades compartides

Suposem que l'usuari1 vol permetre que l'usuari2 pugui llegir documents emmagatzemats en Dades Compartides.

Una opció seria modificar la llista de control d'accés per permetre entrar a la carpeta Dades Compartides. A més, cal permetre l'accés a la carpeta de Documents and Settings i a la carpeta de Mis Documentos, perquè, per defecte, l'usuari 2 tampoc no hi pot entrar.

Comanda cacls

Per fer això, cal executar la comanda cacls. La seva sintaxis és:

cacls fitxer /paràmetres

Paràmetres

A continuació tenim un resum dels paràmetres que suporta la comanda cacls:

  • /t --> Canvia les ACLs dels arxius especificats en el directori actual i en tots els seus subdirectoris.
  • /e --> Modifica les ACLs enlloc de reemplaçar-les. És important fer servir aquest paràmetre quan es vulgui afegir alguna restricció o privilegi a un usuari i no modificar els dels altres que ja estan creats.
  • /c --> Força la modificació encara que hi hagi errors.
  • /g usuari:permisos N (cap), R (lectura), W (Escriptura), C (Modificar)i F (Control total) --> Per concedir permisos d'usuari.
  • /R usuari --> suspèn els drets a l'usuari.
  • /p usuari:perm --> substituiex els privilegis de l'usari especificat.
  • /d usuari --> nega l'accés a l'usuari especificat.

Execució

Executem la comanda calcs segons els paràmetres de dalt. Quedaria de la següent manera:

C:\Users\usuari1>cacls . /t /e /g usuari2:R

Com que estem situats a \Users\usuari1, l'usuari2 podrà accedir en mode lectura a tot el que pengi d'aquest directori.

El cmd ens respon el que hi ha a continuació:

directorio procesado: C:\Users\usuari1
directorio procesado: C:\Users\usuari1\AppData
directorio procesado: C:\Users\usuari1\Configuración local
directorio procesado: C:\Users\usuari1\Contacts
directorio procesado: C:\Users\usuari1\Cookies
directorio procesado: C:\Users\usuari1\Datos de programa
directorio procesado: C:\Users\usuari1\Desktop
directorio procesado: C:\Users\usuari1\Documents
directorio procesado: C:\Users\usuari1\Downloads
directorio procesado: C:\Users\usuari1\Entorno de red
directorio procesado: C:\Users\usuari1\Favorites
directorio procesado: C:\Users\usuari1\Impresoras
directorio procesado: C:\Users\usuari1\Links
directorio procesado: C:\Users\usuari1\Menú Inicio
directorio procesado: C:\Users\usuari1\Mis documentos
directorio procesado: C:\Users\usuari1\Music
archivo procesado: C:\Users\usuari1\NTUSER.DAT
archivo procesado: C:\Users\usuari1\ntuser.dat.LOG1
archivo procesado: C:\Users\usuari1\ntuser.dat.LOG2
archivo procesado: C:\Users\usuari1\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1
824}.TM.blf
archivo procesado: C:\Users\usuari1\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1
824}.TMContainer00000000000000000001.regtrans-ms
archivo procesado: C:\Users\usuari1\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1
824}.TMContainer00000000000000000002.regtrans-ms
archivo procesado: C:\Users\usuari1\ntuser.ini
directorio procesado: C:\Users\usuari1\Pictures
directorio procesado: C:\Users\usuari1\Plantillas
directorio procesado: C:\Users\usuari1\Reciente
directorio procesado: C:\Users\usuari1\Saved Games
directorio procesado: C:\Users\usuari1\Searches
directorio procesado: C:\Users\usuari1\SendTo
directorio procesado: C:\Users\usuari1\Videos
directorio procesado: C:\Users\usuari1\AppData\Local
directorio procesado: C:\Users\usuari1\AppData\LocalLow
directorio procesado: C:\Users\usuari1\AppData\Roaming
directorio procesado: C:\Users\usuari1\AppData\Local\Archivos temporales de Inte
rnet
directorio procesado: C:\Users\usuari1\AppData\Local\Datos de programa
directorio procesado: C:\Users\usuari1\AppData\Local\Google
directorio procesado: C:\Users\usuari1\AppData\Local\Historial
archivo procesado: C:\Users\usuari1\AppData\Local\IconCache.db
directorio procesado: C:\Users\usuari1\AppData\Local\Microsoft
directorio procesado: C:\Users\usuari1\AppData\Local\Temp
directorio procesado: C:\Users\usuari1\AppData\Local\VirtualStore
Acceso denegado.

On s'explica tots els directoris que s'han processat.

Com que volem que la carpeta Confidencial no sigui visible per l'usuari2, hem de fer:

C:\Users\usuari1>cacls "Documents\Confidencial" /e /p usuari2:N

Això només processem la carpeta especificada, tal com es veu a continuació:

directorio procesado: C:\Users\usuari1\Documents\Confidencial


Si utilitzem la següent comanda:

cacls "Documents\Confidencial" /d usuari2

...estaríem negant l'accés a la carpeta Confidencial, però aquesta seria visible.

Comprovació

Podem mirar les acls per cada carpeta escrivint:

cacls Carpeta

Per exemple:

C:\Users\usuari1\Documents NT AUTHORITY\SYSTEM:(OI)(CI)F
                           BUILTIN\Administradores:(OI)(CI)F
                           w8-informatica\usuari1:(OI)(CI)F
                           w8-informatica\usuari2:(OI)(CI)R

A Documents de l'usuari1:

  • Els usuaris del grup d'administrador i l'usuari1 (propietari) hi tenen control total.
  • L'usuari2 té permís de lectura sobre aquesta carpeta.

I en aquest cas:

C:\Users\usuari1\Documents\Confidencial w8-informatica\usuari2:(OI)(CI)N
                                        NT AUTHORITY\SYSTEM:(OI)(CI)F
                                        BUILTIN\Administradores:(OI)(CI)F
                                        w8-informatica\usuari1:(OI)(CI)F

A Documents de l'usuari1\Confidencial:

  • Els usuaris del grup d'administrador i l'usuari1 (propietari) hi tenen control total.
  • L'usuari2 no té cap dret sobre aquesta carpeta.

Si entrem al compte de l'usuari2 ens adonem que realment tenim:

  • Accés a "Dades compartides" de l'usuari1.
  • Accés denegat a "Dades confidencials" de l'usuar1.
Eines de l'usuari
Espais de noms

Variants
Navegació
Eines