2 votes

kiwidude89 avatar

Quelle est la différence entre WDAC et WO (icacls)?

Demandé el 10 de Août, 2022
Quand la question a-t-elle été
56 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je prévois de donner la permission "modifier les autorisations" (WDAC) à l'utilisateur. Cependant, j'ai découvert cette permission (WO) qui représente "prendre possession". Quelle est la différence entre les deux? Est-ce que l'utilisateur avec la permission (WDAC) peut toujours modifier les autorisations sans avoir la permission (WO) définie?

Demandé el 10 de Août, 2022 par kiwidude89

Réponses

Trop de publicités?

1voto

harrymc avatar
harrymc Points 394411

Il s'agit de deux autorisations très différentes.

Le verbe WO signifie "Écrire le propriétaire", ce qui vous permet de prendre possession de l'objet. Le propriétaire a bien sûr toutes les autorisations, y compris l'autorisation d'écriture de DAC.

Pour modifier les listes d'accès du dossier, l'utilisateur doit disposer de l'autorisation d'écriture de DAC (WRITE_DAC - WDAC). Au moins un utilisateur (le propriétaire de l'objet) a l'autorisation de modifier le DACL.

Donc, oui, un utilisateur disposant de l'autorisation d'écriture de DAC peut modifier la plupart des autorisations sans être le propriétaire.

Répondu el 10 de Août, 2022 par harrymc (394411 Points )

1voto

James Mertz avatar
James Mertz Points 390

Quelle est la différence entre les deux?

WO fait référence au paramètre "propriétaire" du fichier, qui est un champ complètement distinct des entrées de DACL (bien que faisant toujours partie de la structure ACL globale). Cela ne fait pas référence à la capacité de modifier l'entrée ACL 'CRÉATEUR PROPRIÉTAIRE'.

Le propriétaire du fichier a implicitement les droits WDAC (mais pas les autorisations complètes - tout le reste doit être accordé via un ACE standard). De plus, lorsque les quotas de disque sont activés, l'espace consommé par le fichier est pris en compte dans le quota de son propriétaire, ce qui est une autre raison pour laquelle définir le propriétaire du fichier est une permission distincte.

Notez que le fait d'avoir les permissions WO n'implique pas les permissions WDAC - pour obtenir les WDAC, vous devriez toujours vous définir comme propriétaire en premier.

Est-ce qu'un utilisateur avec des permissions (WDAC) peut toujours modifier les autorisations sans avoir un ensemble de permissions (WO)?

Oui, ils peuvent modifier toutes les entrées de DACL.

Note supplémentaire : Si quelque chose fonctionne même si cela ne devrait pas (surtout si certains cmdlets PowerShell vous permettent de faire des choses contrairement à la DACL du fichier), généralement c'est parce que cela a été fait avec des privilèges système.

Par exemple, "Prendre possession" n'est pas nécessairement réalisé en ayant les permissions WO - cela peut également être fait en utilisant le privilège système SeTakeOwnership que tous les administrateurs possèdent.

Les administrateurs ont également les privilèges système SeBackupPrivilege et SeRestorePrivilege ; lorsque ces privilèges sont activés, ce processus peut contourner la DACL pour la plupart des opérations. Par exemple, lorsque vous essayez de supprimer quelque chose dans PowerShell, cela active SeRestorePrivilege pour contourner les ACL qui empêcheraient la suppression.

Comme autre exemple, ni la permission WO ni le privilège SeTakeOwnership ne vous permettent de définir des comptes arbitraires comme propriétaire du fichier - ils vous permettent simplement de réclamer le fichier pour vous-même. Ainsi, lorsque vous utilisez l'interface graphique de l'Explorateur ou icacls /setowner pour définir quelqu'un d'autre comme nouveau propriétaire, cela se fait en réalité en se basant sur SeRestorePrivilege pour définir des ACL arbitraires.

Répondu el 10 de Août, 2022 par James Mertz (390 Points )

0 votes

Avatar de kiwidude89

Merci pour les réponses! Cependant, je me demande maintenant, quel est le véritable but de WO alors? Mis à part le quota du disque étant lié au quota du propriétaire, quels autres principaux fonctionnalités y a-t-il lorsque l'on a la permission WO? De plus, mon intention est simplement de permettre à utilisateur de changer les permissions avec WDAC. Donc, si je comprends bien vos réponses, il semble que je puisse définir WDAC seul sans devoir également définir WO pour l'activer?

Commenté el 11 de Août, 2022 par kiwidude89

0 votes

Avatar de James Mertz

Je suppose que son but est de séparer les tâches administratives (par exemple, prendre en charge pour réclamer des fichiers appartenant à d'anciens employés) - par exemple, l'administrateur A gère cette section du serveur de fichiers, l'administrateur B gère cette autre section, etc., donc avec WO étant accordé, ils peuvent prendre possession des fichiers de leur section, mais ne peuvent pas toucher à autre chose.

Commenté el 11 de Août, 2022 par James Mertz

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X