информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?Все любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Всех не отключал. Очевидно, ошибка с родством Гостя и прочих... 05.05.08 08:26  Число просмотров: 2308
Автор: Esc Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Всех не отключал. Очевидно, ошибка с родством Гостя и прочих пользователей, т.к. все вышеупомянутое (про ветки и владельцев) в ходе эксперимента было установлено (хотя ХЗ во что выльетс, конечно).
<sysadmin>
Общий доступ и безопасность - иерархия (Win XP) 03.05.08 17:39   [Den]
Автор: Esc Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Вчера создал Гостя и закрыл ему полный доступ на D (свойства->безопасность). После перезагрузки обнаружил, что не могу зайти в D: сам. Путем обходных манипуляций (кажись, поменял разрешения (кнопка дополнительно)) доступ открыл. Еще далее открыл доступ ко всем файлам и подпапкам. Ок.
Сегодня замечаю, что не грузятся Апачи. Попытка запустить через службы выдало "Отказано в доступе". Сделал Апачу Repair - в середине установки вылазит "Cannot create D:/WebServers/usr". Хм.
Открыл свойства WebServers и общий доступ. Repair -> Error 1317. Возвращаюсь в свойства, Безопасность -> Разрешения. Применяю к дочерним объектам то же через галку. Прогресс (около минуты).
Общий доступ к дочерним папкам по прежнему закрыт. Вручную все само собой. Как действует Апач, если он себя теперь даже удалить не может, хотя Бат это сотворил на ура? Чем ему помочь?
После обрубания доступа для "Всех" на корень возникает куча... 04.05.08 10:46  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 04.05.08 10:47  Количество правок: 1
<"чистая" ссылка>
> Вчера создал Гостя и закрыл ему полный доступ на D
> (свойства->безопасность). После перезагрузки обнаружил,
> что не могу зайти в D: сам. Путем обходных манипуляций
> (кажись, поменял разрешения (кнопка дополнительно)) доступ
> открыл. Еще далее открыл доступ ко всем файлам и подпапкам.
> Ок.
После обрубания доступа для "Всех" на корень возникает куча (вышеописаных) проблем. Глючность данного механизма виндов приводит к побочным эффектам. Например к невозможности дать права для "Админа", даже если сам залогинился под "Админом". Это ставит в ступор. Назначение прав "Админу" на корень не приводит окончательно к положительным результатам. По каким-то непонятным причинам слетает "Владелец" у некоторых файлов/папок. После назначения "Админа" владельцем происходят первые улучшения. Что-то более/менее устаканивается после назначения прав "Админу", назначения владельца "Админа" и включения наследования от корня к веткам.
Для системного диска подобные извращения применять вообще не рекомендуется - развалится все. Нужно хотя бы не забывать про то, что сервисы стартуют со своей учетной записью. Наследования для "Документ энд сеттингс", "Програм файлес" и "Виндовс" отключены и переназначены надлежащим образом. Короче, хоть и эта родная виндовская система уродлива, трогать ее не рекомендуется, можно сделать только еще хуже - ничего работать не будет.
Всех не отключал. Очевидно, ошибка с родством Гостя и прочих... 05.05.08 08:26  
Автор: Esc Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Всех не отключал. Очевидно, ошибка с родством Гостя и прочих пользователей, т.к. все вышеупомянутое (про ветки и владельцев) в ходе эксперимента было установлено (хотя ХЗ во что выльетс, конечно).
А "Гостя" по умолчанию нет, если только его специально не... 05.05.08 10:05  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Всех не отключал. Очевидно, ошибка с родством Гостя и
> прочих пользователей, т.к. все вышеупомянутое (про ветки и
> владельцев) в ходе эксперимента было установлено (хотя ХЗ
> во что выльетс, конечно).
А "Гостя" по умолчанию нет, если только его специально не вводить.
Родство "Гостя" и "Все" имеет место быть (хотя мнимое). Обычно "Гостю" ничего не дают и он соответствует только "Всем" по секьюрити.
В конце концов все зависит от конкретной ситуации. Я то видел, что на корень права были только у "Всех", даже "Администраторов" не было в добавок. Конечно, если не трогать "Всех", то и не за чем "Админа" добавлять. На некорорых системах в корне много кто присутствует.
Не хватает прав виндовой учетки из под которой стартует Апач. Апач стартует как сервис (бат то как приложение)? Под какой учеткой? у нее есть права на диск Д. Наверное удалил из прав группу "все", а системным учеткам не дал прав на Д. 03.05.08 17:52  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
За наводку thnx, кстать. 04.05.08 08:16  
Автор: Esc Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Жощь какая-то. Поменял владельца на себя, срубил Апач, а... 04.05.08 08:09  
Автор: Esc Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Жощь какая-то. Поменял владельца на себя, срубил Апач, а когда стал устанавливать, он опять ругается, говорит, что не может получить доступ к процессу установки. В общем, недолго думая, перетащил его на девственный C и поставил как хотел.
Смена владельца каталога или контейнера не означает смену... 04.05.08 20:41  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Жощь какая-то. Поменял владельца на себя, срубил Апач, а
> когда стал устанавливать, он опять ругается, говорит, что
> не может получить доступ к процессу установки. В общем,
> недолго думая, перетащил его на девственный C и поставил
> как хотел.

Смена владельца каталога или контейнера не означает смену всех разрешений для владельца нового владельца (группы).

Для установки и запуска службы необходимо:

1. Иметь права администратора (желательно не ограниченные системными политиками).

2. Необходимые разрешения на каталог, в который производится установка, для своей учетной записи (группы) и для учетной записи SYSTEM (если службы будет выполняться от имени системы).
Вот этого не было. В таскбар смотрел, а владельцем назначить... 05.05.08 08:32  
Автор: Esc Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> для учетной записи SYSTEM (если службы будет выполняться от
> имени системы).

Вот этого не было. В таскбар смотрел, а владельцем назначить не догадался. Спасибо.
Не надо делать владельцем учетную запись system! 05.05.08 12:26  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Вот этого не было. В таскбар смотрел, а владельцем
> назначить не догадался. Спасибо.

Не надо делать владельцем учетную запись SYSTEM!
Надо добавить разрешения для этой учетной записи.
Кстати, какая именно XP - home или professional?
У systemа полный доступ 15.05.08 11:31  
Автор: Esc Статус: Незарегистрированный пользователь
Отредактировано 15.05.08 11:36  Количество правок: 1
<"чистая" ссылка>
> Не надо делать владельцем учетную запись SYSTEM!
> Надо добавить разрешения для этой учетной записи.
> Кстати, какая именно XP - home или professional?

Владельцами остались Администраторы, а для SYSTEM u LOCAL SERVICE полный доступ.
XP Pro. Только все то же - 3DMax тоже пришлось на C тащить. (3D запускает службу лицензирование - возможно, проблема в этом).
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach