Сброс разрешений NTFS на весь диск

Кто-то в основном запутался в настройке разрешений на диске NTFS, и я ищу способ сбросить все разрешения по умолчанию. ОС будет переустановлена, но я пытаюсь спасти данные из их пользовательских каталогов.

Ни одна из данных не зашифрована на уровне FS.

Любая рекомендация о том, как этого добиться?

Если вы говорите о диске, на котором нет установки Windows, просто используйте утилиты «TAKEOWN» и «ICACLS»:

TAKEOWN /f "X:\" /r /d y
ICACLS "X:\" /reset /T

Затем вы можете сбросить ACL на все, что вы хотите.

Если это диск с установленной операционной системой Windows 2000, XP или Server 2003 (не знаю о Vista на этом), вы можете попробовать повторно применить шаблон безопасности по умолчанию:

secedit /configure /db secedit.sdb /cfg %SystemRoot%\defltwk.inf /overwrite /verbose

(При установке Windows Server замените «defltsv.inf» на «defltwk.inf».)

В качестве альтернативы takeown и * cacls вы можете использовать SetACL, чтобы сначала стать владельцем каждого файла и каталога на диске, а затем установить нужные разрешения.

Назначение администраторами целого дерева и включение наследования для дочерних объектов :

SetACL.exe -on "C:\" -ot file -actn setprot -op "dacl:np;sacl:nc" 
           -rec cont_obj -actn setowner -ownr "n:S-1-5-32-544;s:y"

Добавление полных разрешений для администраторов:

SetACL.exe -on "C:\" -ot file -actn ace -ace "n:S-1-5-32-544;s:y;p:full"

Я не уверен, что такая вещь существует. Тем не менее, если вы не создаете образ системы, ОС может быть переустановлена ​​без удаления пользовательских данных, что также исправит разрешения для папок, связанных с ОС. В зависимости от того, какая это система и какая доступна, вставьте диск в другую систему, извлеките пользовательские данные, затем выполните очистку и переустановку.

Я никогда не слышал о том, чтобы что-либо «сбрасывало» разрешения на все обратно на чистый лист, если не учитывается «восстановление из резервной копии».

Даже если бы это было так, ему понадобился бы способ узнать, кому какие файлы принадлежат, а также разрешения реестра и другую идентификационную информацию. Скорее всего, это облажается, и у вас будет система, которая будет работать странно в случайные моменты времени, если только у рассматриваемой программы не было снимка состояния машины, когда она была впервые установлена ​​... в этом случае она такая же в качестве резервной копии. Вы могли бы потенциально изменить разрешения и идентификаторы (идентификаторы безопасности), просто добавив пользователей и установив ОС в первую очередь на компьютере, поскольку в ACL Windows были определенные вещи, специфичные для установки.

Лучше всего сделать резервную копию пользовательских данных, стереть диск и переустановить, прежде чем копировать пользовательские данные обратно в соответствующие папки, а затем создать резервную копию системы.

Это одна из ситуаций, когда RAID не помог бы, но хорошее резервное копирование может (есть ряд начинающих администраторов, которые, кажется, считают RAID резервной копией; в этой ситуации это не помогло бы!)

Я не вижу способа вернуть вещи к тому, как они использовали только одну коробку, но если у вас есть вторая доступная, либо в качестве замены, либо в качестве временной области подготовки (даже ПК с здоровенным HD подойдет для временная постановка), вот одно из решений. Вероятно, здесь есть короткие пути, но я предпочитаю медленный и дотошный способ, так как он менее подвержен человеческим ошибкам.

Предположим, что сервер A - это сервер с испорченными разрешениями, а сервер B - это либо область замены, либо временная промежуточная область.

• Восстановить из последней удачной резервной копии на сервер B (убедившись, что вы выбрали вариант восстановления безопасности при этом).
• На сервере A укажите, можете ли вы получить доступ к данным.
  • Если нет, возьмите на себя ответственность за все, с помощью графического интерфейса или командной строки.
  • Укажите, можете ли вы сейчас получить доступ к данным.
  • Если нет, предоставьте себе полный контроль.
• Скопируйте данные с сервера A на сервер B, используя xcopy / S / E / C / H / R / K / Y. Не используйте / O, поскольку это перезапишет ваши восстановленные ACL.
• Если это замена сервера, вы сделали. Если нет, после восстановления сервера A скопируйте его обратно с сервера B, на этот раз с помощью xcopy / S / E / C / H / R / K / O / Y (примечание / 0 здесь на этот раз).
• Сделайте несколько тихих слов в углу с человеком, который это сделал. Бейсбольные биты и угрозы отозвать их права администратора могут быть или не быть необязательными, в зависимости от того, как вы себя чувствуете.