Поэтому, когда монтируется том NTFS в macOS или Linux через различные опции, такие как Paragon ntfs-3g
легко получить доступ к папкам пользователя и т. д., поскольку списки ACL не сохраняются для предотвращения доступа.
Есть ли способ монтировать тома в самой Windows, который запрещает списки ACL, чтобы разрешить то же поведение, что и в системе Unix?
windows
permissions
mount
ntfs
ylluminate
источник
источник
Ответы:
NTFS Access Control обрабатывается иначе, чем методы Unix / HFS. HFS, будучи, по сути, FAT32 + B-деревьями, хранит их совершенно отдельно в виде метаданных, подобных ссылкам, поэтому файловой системе легко изменять одно, не касаясь другого.
Данные ACL NTFS тесно связаны с самой NTFS, поскольку токены доступа, передаваемые фактическим драйвером для соединения фрагментов данных и метаданных, шифруются с помощью кода непосредственно из списка ACL. Я не работаю над безопасностью MS, но, очевидно, это помогает в дальнейшем, поскольку это шифрование может использоваться в качестве перекрестной проверки целостности файла / бит-гниения. Это одна из причин, по которой NTFS более защищена от «гниения» и «тихого» повреждения данных по сравнению с HFS. Имея возможность изменять данные, вы нарушаете ACL и наоборот, поэтому единственный способ монтировать диск - только для чтения. Именно поэтому Tuxera / NTFS3G и т. Д. И т. Д. Не хотят монтировать грязный или спящий диск ... Microsoft связывает оба этих состояния в одной системе обработки ключей.
Самый простой способ сделать это сейчас - создать новую группу пользователей для запланированного использования, добавленную в группу администраторов системного администратора из предыдущей группы Windows ACL. Используйте команду Runas из командной строки с повышенными привилегиями, чтобы открыть приложение по вашему выбору (скопируйте строку местоположения из окна проводника, затем вручную добавьте имя программы .exe) и настройте ее поведение по расписанию, а затем сохраните ее там.
Вы также можете использовать ярлык для этого, и установить его всегда запускать от имени этого пользователя в диалоговом окне его свойств. Если вы хотите, чтобы пользователь не мог обновлять измененное время, вы также можете теперь ограничить возможность обновления, отключив привилегию записи указанного пользователя в файлы.
источник
У Windows нет общего способа игнорировать разрешения, кроме сброса прав собственности и прав доступа ко всем файлам. При перемещении между компьютерами это не является приемлемым решением.
Проблема возникает, когда учетная запись пользователя создается на одном компьютере, поэтому не имеет аналогов на другом компьютере. Затем другой компьютер назовет его «Неизвестная учетная запись» и назначит его некоторые произвольные и очень ограниченные разрешения.
Одним из решений является использование только учетной записи, которая является общей для всех Windows компьютеры, например встроенная учетная запись администратора. Эта учетная запись отключена в Windows 7 и далее, по соображениям безопасности, поэтому это решение не рекомендуется.
Чтобы полностью избежать таких проблем с разрешениями, вы можете использовать формат диска что не имеет разрешений, вместо NTFS.
Одним из таких форматов является старый FAT32 в котором полностью отсутствуют понятия безопасности и разрешений. Его недостатком является то, что он ограничен файлами размером до 4 ГБ. Его преимущество в том, что он универсально поддерживается на все версии Windows, Mac, Linux, игровые приставки и практически везде остальное.
Если ограничение 4 ГБ неприемлемо, EXFAT Формат в основном FAT64. Его недостатком является то, что он является частным и требует лицензирования от Microsoft. Работает со всеми версиями Windows от XP с пакетом обновления 3 и выше (и / или при установке Windows XP Update KB955704) и на современных версиях Mac OS X, но требует дополнительного программного обеспечения на Linux.
источник