Role Administrátora ve Vistě

Dotazů týkajících se zabezpečení a zejména přístupových práv se na tomto webu objevilo mnoho. Protože se jedná prakticky o stále to stejné, tedy nepochopení principu fungování přístupových práv, přinášíme v tomto tipu celkový pohled. Zaměříme se samozřejmě na Vistu, ale většina z uvedeného platí i ve Windows XP nebo Windows 2000.

Jak se chovají práva?

Několik zásadních pravidel:
  1. Práva se vztahují na jednotlivé objekty (soubory, složky) a definují se pro skupiny uživatelů nebo jednotlivé uživatele. Například určitý soubor může číst uživatel Novák, nebo určitou složku může měnit skupina uživatelů Users.
  2. Práva je možné dědit z nadřazeného objektu. Například řeknu, že složka je pro čtení skupině uživatelů Users a zároveň řeknu, že všechny podřízené objekty této složky (soubory, podsložky a sooubory v podsložkách) budou používat stejná práva.
  3. Právo je buď uděleno, nebo odebráno. Nikdy obojí zároveň (logicky), nicméně nemusí být právo pro uživatele vůbec stanoveno. Pak se použije právo skupiny, do které uživatel patří.
  4. Priorita zákazu. Jelikož jeden uživatel může být ve více skupinách (a i pro něj osobně může být právo definováno), pak stačí byť jediné odebrání práva a už jej nemá. Například pokud skupina Users má povoleno čtení, ale uživatel Karel, který je jejím členem, má čtení zakázáno, pak Karel ve výsledku čtení povoleno nemá.
  5. Každý objekt (složka, soubor) má svého vlastníka. Práva může nastavovat vlastník, nebo ten, kdo má právo práva nastavovat.
  6. Vlastnictví se nelze zříct. Mohu ale jako vlastník povolit převzetí vlastnictví někým jiným a ten si jej pak může přivlastnit.
  7. Ani administátor nemůže měnit práva, pokud není vlastníkem nebo to nemá přímo povoleno. Může se však kdykoli stát vlastníkem.

Praktické závěry

Nejčastějším dotazem v diskuzích bývá: proč nemohu smazat soubor, když jsem administrátor. Ponechme ještě chvíli stranou Ochranu uživatelského účtu (UAC) a předpokládejme, že akci mazání skutečně provádíte jako adminsitrátor. Jenže pokud na to nemáte právo, protože vám jej vlastník odebral, tak soubor prostě nesmažete. Můžete ale vlastnictví převzít. Po převzetí vlastnictví je nutné uzavřít všechna okna nastavování práv (Vista vám to dokonce doporučí, v XP na to musíte myslet sami) a znovu je otevřít. Jako vlastníci už můžete sobě povolit smazání. A teprve pak mazat. Představme si tedy situaci, kdy na disku leží složka "Odpad", kterou chceme smazat. Není prázdná, prakticky ani nevíme, co v ní je, protože se do ní nedostaneme (kdo ví, kdo ji vytvořil). Jak na to, ve Vistě? Zde je přesný postup:
  1. Nejdříve získáme vlastictví: klepněte pravým tlačítkem na složku a zvolte Properties.
  2. Přejděte na záložku Security a zvolte Advanced. Je pravděpodobné, že už v tuto chvíli vás Vista zarazí, protože když nemáte žádná práva ke složce, tak se ani nesmíte dozvědět, kdo ta práva má. Jste ale administrátoři!
  3. V otevřeném okně něco použitelného uvidíte jen na záložce Owner. Právě zde totiž můžete práva převzít. Klepněte na Edit. Budete muset potvrdit UAC.
  4. Zvolte nového vlastníka, buď skupinu Adminsitrators, nebo přímo sebe. Je to jedno, ale aby vás UAC co nejméně obtěžovalo, zvolte spíše svoje jméno. Označte volbu Replace owner on subcontainers and objects a stiskněte OK.
  5. Chvíli to bude trvat. Až vše proběhne, Vista vás upozorní, že máte pozavírat všechna okna vlastností, takže to udělejte.
  6. Nyní jsme vlastníky složky i všech vnořených objektů, takže si nastavíme právo Full control, ať je můžeme smazat. Klepněte znovu na složku pravým tlačítkem a zvolte Properties.
  7. Nyní by už přechod na záložku Security měl být bez problémů. Opět zvolte Advanced.
  8. Hned na první záložce Permissions zvolte Edit, potvrďte UAC.
  9. Nejdříve zabráníme tomu, aby se do složky dostala nějaká práva z nadřazené složky, takže pokud je zatržítko Include inheritable permissions from this object's parents označené, tak je odškrtněte. Objeví se dialog, co s právy, zvolte Remove a práva budou odstraněna.
  10. Nyní stiskněte Add, zadejte svoje jméno (případně stačí Administrators), potvrďte.
  11. Ve sloupci Allow označte Full Control (označí se i všechna ostatní zatržítka) a stiskněte OK
  12. Nyní jste opět v okně Advanced Security, v seznamu vidíte jen svoje jméno, protože ostatní práva jsme odebrali.
  13. Označte Replace all existing inheritable permissions on all descendants with inheritable permissions from this object a stiskněte OK.
  14. Až vše proběhne, pozavírejte opět všechna okna s vlastnostmi složky.
  15. A nyní byste už měli být složku schopni normálně smazat.

Jak být opravdu administrátor

UAC způsobující to, že i administrátoři pracují s normálními právy, je hezká věc, ale ne každá aplikace dá Vistě jasně najevo, že určitou operaci může provést jen admin. Příkladem je ICQ 5.1 a volba Load on startup Windows. Ačkoli ji v nastaveních ICQ změníte, nic se nestane. Protože běžný uživatel nemůže měnit nastavení počítače (který program se spouští po startu Windows), byť by byl administrátor (ICQ se normálně díky UAC spustí jakoby je spouštěl běžný uživatel). V tomto (a podobných případech) vynuťte spuštění jako adminsitrátor. Stiskněte klávesu Win a napište kus názvu programu, třeba právě ICQ. Program se vyhledá a v nabídce Start objeví. Klepněte na program pravým tlačítkem myši a zvolte Run as administrator. Objeví se ochrana UAC, ale po jejím odklepnutí se ICQ skutečně spusí s právy administrátora, takže volba Load on startup Windows půjde změnit.

Typ článku:

Komentáře

Kopíroval jsem pro zálohu jeden disk s WIN2000 ve Vistě a u několika souborů jsem narazil na problém s kopírováním... vyžádá si UAC potvrdím a skončí na hlášce File Access Denied You need permission to perform this action You require permission from aktuálně přihlášený uživatel to make changes this file winmodsem.exe Try Again a prostě ho nepřekopíruje ani za boha... Proč?
Obrázek uživatele Michal Politzer

A nastavoval jste u těchto souborů práva? Je dost dobře možné (u souborů patřicím do instalace Windows je to i časté), že protě ani Admin na tyto soubory nemá práva ke čtení. Vlastníkem je něco jako NT_Authority a jedině ten může k souboru přistupovat. Takže když ho chcete zkopírovat, tak musíte práva povolit i sobě. To může být komplikované, protože soubor může mít třeba práva nastavena jen pro OWNER (vlastník). Jenže pak vlastníkem budete vy. Takže sice soubor vesele zkopírujete, ale kdybyste někdy chtěl tuto instalaci Windows 2000 spustit, tak narazíte na problém, protože NT_Authority už mít přístup nebude! mojevista.cz

Stejná práva jako u jakéhokoli jiného spustitelného souboru, který překopírovat šel... Přesunut na root identického disku šel...

 Bezel cas, prikazovy radek zustal a az na menici se format zustaly vlastnosti stejne.

  Net users, net passw, net account a predevsim stary dobry znamy cacls (pro Vistu je to Icacls) zustal.

  Tady se da z admin. profilu hromadne nastavit uplne vse. Vcetne zapnuti superadmina, ktery neni chranen heslem a lze se tak do Vist dostat behem 5 minut - pokud je k nim fyzicky pristup (u firem "vynikajici" featura).

  Jisteze v anglictine pojmy

:\ BUILTIN\Administrators:(OI)(CI)(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(F)
    BUILTIN\Users:(OI)(CI)(R)
    NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
    NT AUTHORITY\Authenticated Users:(S,AD)
    Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)

mnoho nereknou, profik ale okamzite vidi, ze zmeny jsou az na jeden radek mozne pro cely disk C: a prava k souborum uz staci presmerovat na zalozeny ucet (doubble admin).

  To nejsou zadne hack metody, ale oficialni Resource Kit Vindovs Vista.

  Jedine timto zpusobem lze upravit chovani UAC pro Premium verze (nikoliv Basic) stejne jako u Bussiness a Ultimate.

  Nevyssi verze je proti tomu imunni, ale protoze tuhle si koupi jen multilicence, je to pro tyto ucely k nicemu.

 Pokud si to chcete nastavit, nauinstalujte s od Microsoftu  Baseline Security 2.1 for Vista.

  Nejenze vam pohlida a nainstaluje aktualizace bez ohledu na WINUpdate (jen jej spousti jako sluzbu a zastavuje ji), ale presne urci nastaveni chybnych polozek treba ve sprave uctu - bez rozdilu verzi.

  Pro znale lze editovat Registr - jen pro ZNALE.

Nevite nekdo jak hromadne zmenit vlastnika a i prava na slozku vcetne celeho jejiho obsahu (poslozek a souboru v nich). Potreboval bych zmenit prava u par stovek souboru a delat to po jednom proste neni realne :-) Diky
Obrázek uživatele Michal Politzer

Je to v článku popsáno, krok 4. Při označování nového vlastníka složky zaškrtněte Replace owner on subcontainers and objects mojevista.cz

No jsem to ale luser. Diky
Obrázek uživatele Michal Politzer

V pohodě, od toho jsou přece tyhle diskuze :) mojevista.cz

...je sice hezký, ale vzhledem k tomu, že mi to nedovolilo normálně pracovat se systémem, kopírovat soubory a podobně v TC, vypnul jsem to hned, jak jsem našel, kde se to dá vypnout... Může to být dobré pro BFU, ale já mám rád, když mám nad systémem kontrolu, a ne on nade mnou... Vždyť mi to nedovolilo ani nahrát český jazykový balíček do právě nainstalovaného PSI, změnit nastavení Opery a podobně... A při každém spouštění souboru odklepávat, že to OPRAVDU chci spustit, je hodně otravné... Naštěstí se to dá vypnout ;-)
Obrázek uživatele Michal Politzer

... takže už se určitě opakuju. Ale fakt to není špatná věc. Jistě, po instalaci systému si to třeba na pár hodin vypněte, nainstalujte aplikace, proveďte nastavení, jaká potřebujete. Ale pak to zase zapněte. Věřte mi, jedu na Vistě snad půl roku a vůbec mi UAC nevadí - protože se mi objevuje velmi málo, prakticky jen při instalaci nového programu.

Je to klasický efekt, první týden vypadá UAC strašně (jenže to si s Vistou hrajete, chodíte po různých nastaveních, experimentujete). Až začnete ale počítač používat normálně (na práci nebo na hraní), tak vás UAC otravovat nebude.

Je to samozřejmě ale i o stylu práce - tedy o tom, jestli všechna svoje data máte ve svojí složce a jinam ani nelezete a programy instalujete do C:\Program Files. Pokud totiž třeba pracujete přímo v kořenové složce disku nebo instalujete programy třeba do složky c:\totalcmd, tak to je pak horší... Linux na vás, tam byste si to nikdy nedovolil  

Michal Politzer
www.mojevista.cz

Linux používám na stolním PC už několik let jako jediný systém, takže jak fungují práva samozřejmě vím a zrovna tak vím, že admin má absolutní kontrolu, což ve Visrách neplatí... Na ntb mám XP MCE (pouze z toho důvodu, že některý hw mi v Linuxu nechodí, jakmile bude podpora, vyhodím widle a půjdu opět do Linuxu) a chtěl jsem zkusit Visry, vydržel jsem to přesně jeden den. Za tu dobu jsem zjistil, že Visry jsou opravdu velice stabilní a bezpečný sýstém :-D Každou chvíli mi něco spadlo a většinou to sebou vzalo i celý systém, Outlook 2003 se mi nepovedlo vůbec spustit, třikrát se objevil bluescreen (paměti jsou v pořádku, testoval jsem je memtestem, navíc v XP se mi to nikdy neobjevilo). Jako správce souborů používám Total Commander a z nějakého neznámého důvodu mi nedovolil zapisovat do Program Files, kam jsem nainstaloval PSI a chtěl jsem tam nahrát češtinu, Opera si nevytvořila vůbec profil a nahrát tam mojí zálohu nešlo a začalo to fungovat až poté, co jsem to šílené UAC vypnul. Do Documents and settings jsem se dostal až poté, co jsem převzal vlastnictví celého adresáře včetně obsahu. Takže jednoduché shrnutí. Visry začnu používat až poté, co přestane být podporovaný XP, do té doby nemám důvod měnit... A doufám, že co se týče stability, opraví to co nejdříve...

Prosim vas kde se to da vypnout?

Dělám to přesně podle návodu,ale stejně mi pořád vyjíždí tahle hláška http://ukazto.com/?img=chybova_hlaska.jpg už nevím jak dál...

Dobrý den,

mám problém s nastavení přístupu oprávnění do určitých složek. Vše jsem dělal podle vašeho návodu, ale systém mně nepustí dále, vis screen.

Děkuji za radu.