Nt service trustedinstaller: Как восстановить владельца TrustedInstaller в Windows 10. G-ek.com

Список скрытых / виртуальных учетных записей пользователей Windows

Я не думаю, что существует исчерпывающий список всех возможных учетных записей.

Существуют различные типы имен, которые вы можете использовать в поле ввода пользователя, например, в диалоговых окнах разрешений.

Сначала идут стандартные Win32_Accounts, чтобы получить полный список, откройте сеанс PowerShell и запустите:

  get-wmiobject -class "win32_account" -namespace "root \ cimv2" | сортировать заголовок | заголовок таблицы формата, __CLASS, FullName
  

Это обычные пользователи, группы и встроенные учетные записи.

Начиная с Vista, появился новый класс учетных записей, называемых виртуальными учетными записями, поскольку они не отображаются в обычных инструментах управления. Иногда их также называют сервисными учетными записями, и их существует как минимум три различных типа:

Начиная с Vista, каждая служба Windows имеет связанную с ней виртуальную учетную запись, даже если она работает под другой учетной записью и даже если он вообще не запускается. Похоже, NT Service \ MSSQLSERVER

Чтобы получить список тех, кто использует:

  get-service | foreach {Write-Host NT Service \ $ ($ _. Имя)}
  

Каждый пул приложений IIS, который работает под ApplicationPoolIdentity, работает под специальной учетной записью с именем IIS APPPOOL \ NameOfThePool

Предполагая, что у вас установлены инструменты сценариев управления IIS, вы можете запустить:

  Get-WebConfiguration system.applicationHost / applicationPools / * / * | где {$ _. ProcessModel.identitytype -eq 'ApplicationPoolIdentity'} | foreach {Write-Host IIS APPPOOL \ $ ($ _. Имя)}
  

На Server 2008+ и Windows 8+ у вас есть Hyper-V, каждая виртуальная машина создает свою собственную виртуальную учетную запись, которая выглядит так: NT ВИРТУАЛЬНАЯ МАШИНА \ 1043F032-2199-4DEA-8E69-72031FAA50C5

, чтобы получить список, используйте:

  get-vm | foreach {Write-Host NT ВИРТУАЛЬНАЯ МАШИНА \ $ ($ _.Id) - $ ($ _. VMName)}
  

Несмотря на то, что эти учетные записи не принимаются в диалоговом окне разрешений, вы можете использовать их с icacls. exe для установки разрешений.

Существует также специальная группа NT Virtual Machine \ Virtual Machines , которая больше нигде не отображается. Все учетные записи виртуальных машин являются членами этой группы, поэтому вы можете использовать это, чтобы установить разрешения для всех файлов виртуальной машины.

Эти имена зависят от языка, например на немецком языке он называется NT Virtual Machine \ Virtuelle Computer

Двм.exe-процесс (Диспетчер окон рабочего стола) запускается под пользователем Диспетчер Windows \ DWM-1

Опять же, вы не можете использовать этот тип пользователей в диалогах разрешений. Их невозможно перечислить, потому что один существует для каждого «сеанса рабочего стола», поэтому при использовании двух сеансов RDP у вас также есть DWM-2 и DWM-3 в дополнение к DVM-1 . Так что их столько, сколько доступно десктопов.

В некоторых случаях вы также можете использовать имена компьютеров в диалоговом окне разрешений, обычно когда они являются частью домена Active Directory.

• Удаленное взаимодействие виртуальных пользователей Windows

При использовании PowerShell и «JEA (Достаточно администрирования)» и подключении к серверу с помощью удаленного сеанса PS может быть создан временный виртуальный пользователь.

имеют следующий формат:

winrm virtual users \ winrm va_x_computername_username

и SID, который начинается с S-1-5-94-

‘x’ — целое число.

Эти учетные записи можно использовать при назначении разрешений NTFS, но я не знаю, как перечислить всех этих возможных виртуальных пользователей.

Во время сеанса JEA вы можете использовать whoami , чтобы узнать имя текущей учетной записи.

Даже эти списки не дают вам всех возможных отчетов.

Например, вы можете создать пул приложений FooBarPool , а затем удалить его снова, вы по-прежнему можете использовать IIS APPPOOL \ FooBarPool в диалоговом окне разрешений, поэтому где-то должен быть внутренний список.

Что такое TrustedInstaller и почему он мешает мне переименовывать файлы?

TrustedInstaller — это встроенная учетная запись пользователя в Windows 8, Windows 7 и Windows Vista.Эта учетная запись пользователя «владеет» множеством системных файлов, включая некоторые файлы в папке Program Files, папке Windows и даже папке Windows.old, которая создается после обновления одной версии Windows до другой. Чтобы переименовать или удалить эти файлы, вам необходимо принять на себя право владения ими из учетной записи пользователя TrustedInstaller.

TrustedInstaller — это встроенная учетная запись пользователя в Windows 8, Windows 7 и Windows Vista. Эта учетная запись пользователя «владеет» множеством системных файлов, включая некоторые файлы в папке Program Files, папке Windows и даже папке Windows.old, которая создается после обновления одной версии Windows до другой. Чтобы переименовать или удалить эти файлы, вам необходимо принять на себя право владения ими из учетной записи пользователя TrustedInstaller.

Если вы только что обновились до новой версии Windows и пытаетесь избавиться от нее. старая папка, есть более простой способ сделать это — вам не нужно удалять папку вручную.

Кто такой TrustedInstaller?

Учетная запись пользователя TrustedInstaller используется службой установщика модулей Windows, входящей в состав Windows. Эта служба отвечает за установку, изменение и удаление обновлений Windows и других дополнительных компонентов Windows, поэтому у нее есть исключительная возможность изменять их.

Удаление винды.

Если вы пытаетесь удалить C: \ Windows.старая папка после обновления до новой версии Windows, и вы видите сообщение о том, что вам нужно разрешение от TrustedInstaller, вам вообще не нужно становиться владельцем файлов. Вам просто нужно использовать мастер очистки диска.

Чтобы открыть мастер очистки диска, нажмите клавишу Windows и введите Очистка диска .В Windows 7 щелкните ярлык Disk Cleanup , который появляется в меню «Пуск». В Windows 8 щелкните категорию Параметры и выберите ярлык « Освободить место на диске, удалив ненужные файлы ».

Нажмите кнопку Очистить системные файлы в окне «Очистка диска».

Если у вас Windows. old на жестком диске, вы увидите флажок « Предыдущие установки Windows » в списке системных файлов, которые вы можете удалить. Включите опцию и нажмите ОК. Windows удалит за вас папку Windows.old — убедитесь, что вы скопировали из нее все важные файлы, прежде чем запускать очистку диска.

Принятие права собственности на файлы

Предупреждение — учетная запись пользователя TrustedInstaller владеет вашими системными файлами. Если TrustedInstaller мешает вам переименовать или удалить папку, то часто на это есть веская причина. Например, если вы переименуете папку C: \ Windows \ System32 в , ваша операционная система перестанет работать и ее необходимо будет восстановить или переустановить.

Вам следует принимать на себя ответственность за системные файлы и переименовывать, удалять или перемещать их только в том случае, если вы знаете, что делаете. Если вы знаете, что делаете, следуйте приведенным ниже инструкциям, чтобы стать владельцем файлов.

Найдите папку или файл, владельцем которого вы хотите стать, щелкните его правой кнопкой мыши и выберите «Свойства ».

Щелкните вкладку Security в окне свойств и нажмите кнопку Advanced внизу.

Щелкните ссылку Изменить рядом с TrustedInstaller, чтобы сменить владельца.

Введите Administrators в поле и нажмите кнопку Check Names . Windows автоматически завершит оставшуюся часть имени. Это дает право собственности всем администраторам системы. Нажмите кнопку ОК, чтобы сохранить это изменение.

Включите параметр « Заменить владельца подконтейнеров и объектов », если вы хотите применить эти изменения ко всем вложенным папкам и файлам в них. Нажмите кнопку ОК в нижней части окна Advanced Security Settings .

Нажмите кнопку Изменить в окне свойств.

Выберите пользователя Administrators и установите флажок Full Control , чтобы предоставить учетным записям администраторов полные права доступа к файлам.

Дважды нажмите кнопку ОК, чтобы сохранить изменения. Теперь у вас есть возможность переименовывать, удалять или перемещать файлы по своему усмотрению.

Если вы регулярно становитесь владельцем файлов, вы можете загрузить файл.reg, который добавит параметр «Стать владельцем» в контекстное меню [Неработающий URL-адрес удален]. Вы сможете стать владельцем файлов и папок с помощью нескольких быстрых щелчков мышью.

Почему вам потребовалось передать право владения папкой у TrustedInstaller? Оставьте комментарий и поделитесь любыми другими уловками, которые у вас есть!

Не знаете, что делать со всей этой старой технологией? Если у вас есть старый компьютер или телефон, вот как их утилизировать и использовать повторно.

Крис Хоффман — технический блоггер и заядлый технолог, живущий в Юджине, штат Орегон.

Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

Как восстановить TrustedInstaller в качестве владельца файла в Windows

TrustedInstaller — это встроенная учетная запись пользователя во всех версиях Windows. TrustedInstaller владеет множеством системных файлов, включая некоторые файлы в папке «Windows» и папке «Program Files». Если по какой-либо причине вы изменили владельца этих файлов или они повреждены, настоятельно рекомендуется восстановить право собственности на TrustedInstaller, поскольку он используется службой установщика модулей Windows .По умолчанию служба настроена на запуск вручную, что означает, что она запускается только тогда, когда Windows использует службу при установке одного из модулей.

Исполняемый файл находится в C: \ Windows \ servicing \

Процесс может потреблять высокую загрузку ЦП, но обычно он успокаивается сам по себе. Это связано с тем, что он устанавливает что-то, на что у него есть разрешения, такие операции являются нормальным явлением в Windows. Высокая загрузка ЦП этим процессом не является постоянной, однако, если он не прекращает загрузку сам по себе, я бы посоветовал запустить сканирование SFC для восстановления системных файлов.

1. Щелкните правой кнопкой мыши файл, папку, диск или раздел реестра, для которого вы хотите изменить владельца. На вкладке Security нажмите кнопку Advanced в правом нижнем углу.
2. На вкладке Владелец нажмите кнопку Изменить . Вы можете увидеть подсказку UAC. Нажмите Продолжить / Разрешить / Да.
3. Затем щелкните, Другие пользователи и группы, В текстовом поле под меткой Введите имя объекта, чтобы выбрать , введите NT SERVICE \ TrustedInstaller и нажмите кнопку Проверить имена . Ваш набранный текст изменится с NT SERVICE \ TrustedInstaller на TrustedInstaller .
4. Нажмите ОК

Если вы меняете владельца папки с вложенными папками, установите флажок Заменить владельца подконтейнеров и объектов, Нажмите ОК, Нажмите ОК еще раз во всплывающем окне Безопасность Windows, нажмите OK в окне дополнительных настроек безопасности, затем снова нажмите OK в окне свойств файла / папки.Вы успешно восстановили TrustedInstaller как владельца указанного элемента.

Искусство стать доверенным Установщик

Если вы потратили какое-то время на администрирование системы Windows после Vista, вы столкнулись с группой TrustedInstaller (TI), к которой относится большинство системных файлов и ключей реестра. Если, например, вы посмотрите на безопасность файла в System32, вы заметите, что только TI может удалять и изменять файлы (не разрешена даже группа администраторов), а владельцем также является TI, поэтому вы не можете напрямую изменять безопасности тоже нет.

Однако, если вы посмотрите в приложение «Локальные пользователи и группы», вы не найдете пользователя или группу TI. Это сообщение в блоге о том, чем на самом деле является группа TI, и, что более важно, с помощью PowerShell и модуля NtObjectManager, как вы можете стать TI, чтобы делать то, что вы хотите.

Где находится TrustedInstaller?

Если TI не является пользователем или группой, тогда что это? Возможно, более внимательное рассмотрение ACL даст нам некоторое представление.Вы можете использовать командлет Get-Acl для чтения дескриптора безопасности из файла, и мы можем перечислить TI ACE.

Сам SID генерируется «на лету» как хэш SHA1 заглавной версии имени службы. Например, следующий код вычислит фактический SID:

$ name = «TrustedInstaller»
# Рассчитать SID службы
$ bytes = [Text.Encoding] :: Unicode.GetBytes ($ name.ToUpper ())
$ sha1 = [System.Security.Cryptography.SHA1] :: Create ( )
$ hash = $ sha1.ComputeHash ($ bytes)
$ rids = New-Object UInt32 [] 5
[Buffer] :: BlockCopy ($ hash, 0, $ rids, 0, $ hash.Длина)
[строка] :: Format («S-1-5-80- {0} — {1} — {2} — {3} — {4}», `
$ rids [0], $ rids [1], $ rids [2], $ rids [3], $ rids [4])

Конечно, вам не нужно этого делать, NTDLL имеет функцию RtlCreateServiceSid, а LSASS преобразует имя службы в SID и наоборот. Во всяком случае, вернемся к делу. Это означает, что существует служба TrustedInstaller, которая должна запускаться при изменении системных ресурсов. И это именно то, что мы обнаружим, если запросим с помощью утилиты SC.

Если мы запустим службу TI и посмотрим на токен доступа, мы увидим, что в нем включена группа TI.

Достаточно предыстории, если мы администратор, как мы можем использовать возможности TrustedInstaller?

Стать TrustedInstaller

Изменение прав доступа к системному файлу — не самая лучшая идея. Если вы сделаете это неправильно, вы можете легко открыть части своей системы для проблем с EoP, особенно с каталогами. Проводник может упростить случайную замену настроек безопасности во всех подпапках и файлах, практически не имея возможности вернуть исходные значения. Конечно, причина для TI в том, чтобы вы перестали делать все это в первую очередь, но некоторые люди, похоже, по какой-то причине действительно хотят, чтобы она это делала.

Поэтому самым быстрым и грязным способом было бы изменить конфигурацию службы TI для запуска другого двоичного файла. Как ни странно, хотя TI усложняет работу системы, она не защищает свою собственную конфигурацию службы от модификации обычным администратором. Таким образом, вы можете выполнить следующую команду для удаления произвольного файла как TI:

sc config TrustedInstaller binPath = «cmd. exe / C del path \ to \ file»

Это все еще похоже на взлом, вам придется восстановить службу TI в исходное состояние, иначе такие вещи, как Центр обновления Windows, очень быстро испортятся.Поскольку у службы TI есть токен с правильными группами, как насчет того, чтобы просто запустить службу, а затем «заимствовать» у нее токен для создания нового процесса или для олицетворения?

Как администратор, у нас есть SeDebugPrivilege, поэтому мы можем просто открыть процесс TI и открыть его токен. Тогда мы можем делать с ним все, что захотим. На самом деле все просто, давайте попробуем.

Что ж, это было легко. Похлопайте себя по спине, возьмите холодный, пришло время для доверенного установщика…

Вот дерьмо, кажется, мы не можем создать новый процесс или выдать себя за токен.Это не очень хорошо. Внизу скриншота видно, почему у токена, который у нас есть, есть доступ только к TOKEN_QUERY. Обычно нам нужен как минимум доступ TOKEN_DUPLICATE, чтобы получить первичный токен для нового процесса или создать токен олицетворения. Проверка дескриптора безопасности токена с помощью Process Hacker (у нас даже нет READ_CONTROL для его чтения из PS) объясняет причину, по которой у нас такой ограниченный доступ.

Мы видим, что группа администраторов имеет только доступ TOKEN_QUERY, который, по крайней мере, совпадает с доступом, который нам предоставили для объекта токена.Вы можете задаться вопросом, почему здесь не помогло SeDebugPrivilege. Привилегия Debug только обходит проверки безопасности для объектов Process и Thread, она ничего не делает с токенами, поэтому мы не получаем никакой помощи. Неужели мы застряли, по крайней мере, без более деструктивных методов, таких как изменение двоичного файла службы?

Итак, вот два быстрых приема, позволяющих обойти это ограничение разрешений, которое не требует каких-либо новых или измененных служб или внедрения шелл-кода. Сначала займемся созданием нового процесса. Родителем нового процесса является вызывающий объект CreateProcess, однако для UAC это сделало бы все процессы с повышенными правами дочерними для службы UAC, что выглядело бы несколько странно. Чтобы поддержать принцип наименьшего удивления, MS представила в Vista возможность указывать явный родительский процесс при создании нового процесса, чтобы процесс с повышенными правами все еще мог быть дочерним по отношению к вызывающему.

Обычно в случае UAC вы указываете явный токен для назначения новому процессу. Однако, если вы не укажете токен, который новый процесс унаследует от назначенного родителя, единственное требование для этого — дескриптор процесса, который мы используем в качестве родительского, должен иметь право доступа PROCESS_CREATE_PROCESS.Поскольку у нас есть SeDebugPrivilege, мы можем получить полный доступ к процессу TI, включая право создавать из него новые дочерние процессы. В качестве дополнительного бонуса код создания процесса ядра даже назначит правильный идентификатор сеанса для вызывающего, чтобы мы могли создавать интерактивные процессы. Мы используем это поведение для создания произвольного процесса, выполняемого как токен службы TI на текущем рабочем столе, с помощью командлета New-Win32Process и передачи объекта процесса в параметре -ParentProcess.

Было бы полезно выдавать себя за токен, не создавая новый процесс.Есть ли способ добиться этого? Конечно, мы можем использовать API NtImpersonateThread, который позволяет захватить контекст олицетворения из существующего потока и применить его к другому. Контексты олицетворения работают так, что ядро ​​сначала пытается захватить токен олицетворения для потока. Если нет существующего токена олицетворения, он возьмет копию основного токена процесса, связанного с потоком, и будет олицетворять его вместо этого. И красота NtImpersonateThread API, такая как настройка родительского процесса, не требует разрешения для доступа к токену, ему просто требуется доступ THREAD_DIRECT_IMPERSONATION к потоку, который мы можем получить благодаря SeDebugPrivilege.Таким образом, мы можем получить поток олицетворения без нового процесса, выполнив следующие шаги:

1. Откройте процесс с доступом как минимум PROCESS_QUERY_INFORMATION, чтобы вывести список его потоков.

2. Откройте первый поток в процессе с доступом THREAD_DIRECT_IMPERSONATION. Предположим, что ветка не выдает себя за какого-то скромного пользователя.

3. Вызовите NtImpersonateThread, чтобы украсть токен олицетворения.

Теперь, пока что-то еще не устанавливает токен олицетворения основного потока (и вы ничего не делаете в отдельном потоке), ваша консоль PS действует так, как если бы в ней была включена группа TI.Под рукой 🙂

Заключение

Доверенное владение

Обзор

Проверка надежного владения выполняется для файлов и папок, чтобы убедиться, что право собственности на элементы соответствует утвержденному списку доверенных владельцев.

Если соответствие между файлом, который вы хотите запустить, и разрешенным элементом, дополнительная проверка безопасности гарантирует, что право собственности на файл также совпадает со списком доверенных владельцев.Если подлинный файл был изменен или файл, представляющий угрозу безопасности, был переименован, чтобы напоминать разрешенный файл, проверка доверенного владения выявляет нарушение и предотвращает выполнение файла.

Хотя Application Control может остановить любой исполняемый сценарий на основе вредоносное ПО, как только оно попадает в систему, Контроль приложений не предназначен для замены существующих инструментов удаления вредоносных программ, но должны действовать как дополнительная технология, находящаяся рядом с ними.Например, хотя Application Control может остановить выполнение вируса, он не может очистить, если выключен с диска.

Доверенное Правило собственности

w3.org/1999/xhtml»> Trusted Ownership не требует учета вошедшего в систему пользователя. Не имеет значения, является ли вошедший в систему пользователь доверенным владельцем, администратором, или нет. Доверительное владение вращается вокруг того, какой пользователь (или группа) владеет файл на диске. Обычно это пользователь, создавший файл.

Сетевые папки / общие ресурсы по умолчанию запрещены.Таким образом, если файл находится в сетевой папке, файл или папка должны быть добавлены в правило как разрешенный элемент. В противном случае, даже если файл проходит проверку доверительного владения, правило не разрешает доступ.

Application Control по умолчанию доверяет: —

• СИСТЕМА

• BUILTIN / Администраторы

•% ComputerName% \ Administrator

• NT Service \ TrustedInstaller

Вы можете расширить приведенный выше список, включив в него других пользователей или группы.

Вам нужна дополнительная информация? Прочтите об этом в справке по контролю безопасности Ivanti.

Попробуйте сами

Добавить доверенного владельца

1. В Application Control Configuration Editor > Configuration Settings > Executable Control > Trusted Owners tab, щелкните правой кнопкой мыши в рабочей области и выберите Добавить .

Откроется диалоговое окно «Добавить доверенных владельцев».

2. Введите или выберите имя пользователя, которое нужно добавить.

3.Щелкните Добавить . Теперь пользователь добавлен в список вместе с уникальным идентификатором безопасности.

4. Сохраните и разверните конфигурацию.

Проверить

Быстрый тест, чтобы показать, что функция Trusted Ownership работает:

1. Введите одно или несколько приложений, используя тестовую учетную запись пользователя.

2. Скопируйте одно или несколько приложений на домашний диск пользователя или в другое подходящее место, например, calc.exe из папки System32 или скопируйте файл с компакт-диска.

3. Попытайтесь запустить скопированный файл. Приложение отклонено, потому что файлы принадлежат тестируемому пользователю, а не члену списка доверенных владельцев.

Вы можете подтвердить право собственности на файл, просмотрев свойства в проводнике Windows.

Ваш следующий шаг

уровней безопасности

Разрешенных предметов

Запрещенных предметов

Зачем использовать исполняемый элемент управления?

Как стать владельцем файла или папки с помощью командной строки в Windows

У каждого файла или папки в томе NTFS есть владелец. Некоторые системные файлы принадлежат TrustedInstaller, некоторые — учетной записи SYSTEM, а другие — группе «Администраторы».Если пользователь создает файл или папку, этот пользователь обычно является владельцем файла или папки. Владелец — это тот, кто может назначать разрешения (Разрешить или Запретить) другим пользователям для этого объекта.

Если пользователь не является владельцем файла или папки или не имеет разрешений на доступ к файлу, он получает ошибку «доступ запрещен» при доступе к объекту. Если этот пользователь является администратором, он может стать владельцем объекта с помощью вкладки Свойства файла или папки — Безопасность. Затем он может назначить себе необходимые разрешения.

В этом сообщении рассказывается, как стать владельцем файла или папки и назначить для них необходимые разрешения с помощью командной строки вместо графического интерфейса.

Windows включает инструмент командной строки под названием Takeown.exe, , который можно использовать из командной строки администратора для быстрого изменения владельца файла или папки. Вот как стать владельцем файла или папки , а затем назначить разрешения для учетной записи с помощью командной строки.

Принятие права собственности на файл

Откройте окно командной строки с повышенными привилегиями.Используйте следующий синтаксис, чтобы стать владельцем файла:

 TAKEOWN / F  <имя файла>  

Замените фактическим именем файла с полным путем.

Пользователь, выполнивший вход в систему, теперь является владельцем файла.

Чтобы установить группу администраторов как владельца файла, используйте дополнительно переключатель / A :

 TAKEOWN / F  <имя файла> / A  

• / A Передает права собственности группе администраторов вместо текущего пользователя.Если / A не указано, право собственности на файл будет передано пользователю, вошедшему в систему. Этот параметр не чувствителен к регистру .

Если операция прошла успешно, вы должны увидеть следующее сообщение:

«УСПЕХ: файл (или папка):« имя файла »теперь принадлежит пользователю« Имя компьютера \ Имя пользователя ».»

или

УСПЕХ: файл (или папка): «filename» теперь принадлежит группе администраторов.

Назначить права доступа к файлам

Затем, чтобы предоставить администраторам разрешений на полный доступ к файлу, используйте ICACLS .Вот синтаксис:

 ICACLS  <имя файла>  / администраторы гранта: F 

Пример 2: Чтобы назначить разрешения полного доступа для текущего пользователя, вошедшего в систему, используйте эту команду:

 ICACLS  <имя файла>  / grant% username%: F 

% имя пользователя% представляет собой имя учетной записи текущего пользователя, вошедшего в систему. ICacls принимает эту переменную напрямую.

Пример 3: Чтобы назначить разрешения полного доступа для пользователя с именем John , используйте эту команду:

 ICACLS  <имя файла>  / grant John: F 

Принятие права владения папкой

Используйте следующий синтаксис:

 takeown / f    

(или)

 takeown / f   / a  

• / a Предоставляет право собственности группе администраторов вместо текущего пользователя.Если / a не указано, право собственности будет передано пользователю, вошедшему в систему в данный момент. Этот параметр не чувствителен к регистру .

Вы увидите следующий результат:

УСПЕХ: файл (или папка): «имя_папки» теперь принадлежит пользователю «имя_компьютера \ имя_пользователя»

(или)

УСПЕХ: файл (или папка): «имя_папки» теперь принадлежит группе администраторов.

Рекурсивно сменить владельца:

Чтобы изменить владельца папки, ее подпапок и файлов в каждой подпапке, используйте следующий синтаксис:

 takeown / f    / r / d y 

Пользователь, выполнивший вход в систему, теперь является владельцем папки.

Чтобы настроить группу Администраторы рекурсивно для группы владельцев папки, ее подпапок и файлов, дополнительно используйте переключатель / A :

 TAKEOWN / F  <имя папки> / a / r / d y  

• / R Recurse: указывает инструменту работать с файлами в указанном каталоге и во всех подкаталогах.
• / D Подсказка Ответ по умолчанию используется, когда текущий пользователь не имеет разрешения «список папок» для каталога.Это происходит при рекурсивной работе (/ R) с подкаталогами. Допустимые значения «Y», чтобы стать владельцем, или «N», чтобы пропустить.

Назначить права доступа к папке

Затем, чтобы назначить группе администраторов Полные права доступа для папки, используйте следующий синтаксис:

 icacls    / администраторы грантов: F / T 

Добавлен параметр / T , чтобы операция выполнялась во всех подкаталогах и файлах в этой папке.

Справка командной строки:

Чтобы получить полную информацию об использовании Takeown.exe и ICacls.exe, запустите эти команды из окна командной строки.

  вынос /?  

  icacls /?  

Более простые методы получения права собственности

Командный сценарий

Чтобы еще больше упростить процесс вступления во владение, Тим Снит из Microsoft предоставляет файл .CMD (командный сценарий Windows), который принимает владение и назначает разрешения полного доступа администраторам для каталога.Для получения дополнительной информации прочитайте сообщение Тима, озаглавленное «Секрет № 11: удаление не удаляемого файла».

Добавьте команду «Принять владение» в контекстное меню.

Здесь снова используется специальный глагол runas в Windows Vista и более поздних версиях, о котором я говорил ранее ( REF RunAs ).

через WinMatrix.com

takeown_context. reg

(Вы можете узнать больше о настройке в статье Принятие права собственности на файл или папку через контекстное меню правой кнопкой мыши в Windows .)

Дополнительная информация

Вышеупомянутый раздел охватывает большую часть того, что вам нужно.Прочтите ниже, если вам нужны дополнительные советы по этой теме.

icacls.exe также может изменить владельца файла или папки!

Takeown.exe и Icacls.exe — это два встроенных консольных инструмента в Windows, которые позволяют изменять владельца файла или папки и назначать разрешения на управление доступом соответственно. Takeown.exe устанавливает текущую учетную запись пользователя в качестве владельца объекта (файла или папки).

Однако с Takeown.exe нельзя сделать другую учетную запись владельцем объекта.

Знаете ли вы, что средство icacls.exe также можно использовать для смены владельца?

Чтобы сменить владельца на стороннюю учетную запись (т. Е. Учетную запись, которая в настоящее время не вошла в систему) или группу, вы можете использовать icacls.exe с аргументом командной строки / setowner вместо takeown.exe.

Изменение владельца файла или папки с помощью icacls.exe

Мы видели, как изменить владельца с помощью icacls.exe, в последней части статьи «Принятие права собственности на файл или папку с помощью командной строки в Windows».Вот еще несколько примеров:

Ниже приведен синтаксис командной строки для изменения владельца файла или папки с помощью icacls.exe:

 icacls "file_or_folder_name" / setowner "NT Service \ TrustedInstaller" 

Примеры: Набор № 1: Смена владельца отдельного файла или папки

 icacls "D: \ Annual Reports \ 2020 \ November" / владелец "Джон" 

 icacls "D: \ Tax Audit \ November. xlsx" / владелец "Джон" 

 icacls "D: \ Tax Audit \ November.xlsx" / владелец "Администраторы" 

Если операция прошла успешно, вы увидите следующее сообщение:

 обработанный файл:  имя_файла или_папки 
Успешно обработано 1 файл; Ошибка обработки 0 файлов 

Пример № 2: Рекурсивное изменение владельца папки (подпапки и файлов)

Чтобы изменить владельца папки, ее подпапок и всех файлов во всех подпапках рекурсивно, используйте дополнительно переключатель / T (переход):

 icacls "имя_папки" / setowner "Администраторы" / T 

• / T указывает, что эта операция выполняется для всех совпадающих файлов / каталогов ниже каталогов, указанных в имени.

Приведенная выше команда устанавливает TrustedInstaller в качестве владельца папки, ее подпапок и всех файлов во всех подпапках.

Вернуть право собственности обратно к TrustedInstaller

Иногда для устранения проблемы может потребоваться изменить файл данных, например XML, или ключ реестра, принадлежащий TrustedInstaller. Для этого вам сначала нужно стать владельцем файла, папки или раздела реестра.

После изменения файлов или настроек вам необходимо вернуть право собственности на TrustedInstaller , если TrustedInstaller был предыдущим или первоначальным владельцем.Чтобы вернуть право собственности на TrustedInstaller, выполните следующие действия:

Служба установщика модулей Windows или TrustedInstaller позволяет устанавливать, изменять и удалять обновления Windows и дополнительные компоненты. По умолчанию TrustedInstaller также является владельцем многих важных разделов реестра и системных файлов.

1. Щелкните правой кнопкой мыши файл или раздел реестра и выберите «Разрешения».
2. Нажмите «Дополнительно», чтобы открыть диалоговое окно «Дополнительные параметры безопасности».
3. Рядом с «Владелец:» нажмите «Изменить».
4. В диалоговом окне «Выбор пользователя или группы» введите « NT SERVICE \ TrustedInstaller » и нажмите ENTER.
   
5. Нажмите Применить, ОК.
   

При этом право собственности на объект (файл, папка или раздел реестра) изменяется на TrustedInstaller или Windows Modules Installer.

Использование команды icacls.exe для установки TrustedInstaller в качестве владельца файла

В окне командной строки администратора используйте следующий синтаксис командной строки:

 icacls "путь \ имя файла" / setowner "NT Service \ TrustedInstaller" 

Пример:

 icacls "C: \ Windows \ PolicyDefinitions \ WindowsStore.admx "/ setowner" NT Service \ TrustedInstaller "

TrustedInstaller теперь владеет файлом WindowsStore.admx.

доступ icacls / setowner запрещен?

Иногда в командной строке icacls.exe / setowner может возникать следующая ошибка:

 filename: Доступ запрещен.
Успешно обработано 0 файлов; Не удалось обработать 1 файл 

Это может произойти при обнаружении жесткой ссылки NTFS. Ошибка обычно появляется, когда вы пытаетесь изменить владельца защищенных файлов в каталоге Windows — e.г., C: \ Windows \ Notepad.exe . Жесткая ссылка — это представление файла в файловой системе, в котором несколько путей ссылаются на один файл в одном томе.

Например, в файлах Notepad.exe есть два жестко связанных файла, которые можно просмотреть с помощью следующей команды:

 fsutil.exe список жестких ссылок C: \ Windows \ notepad.exe 

Вы можете видеть, что Notepad.exe жестко связан со следующими файлами:

 C: \ Windows \ System32 \ Notepad.exe
C: \\ Windows \ WinSxS \ amd64_microsoft-windows-notepad_31bf3856ad364e35_10.0.19041.488_none_4cea9379ceedab35 \ notepad.exe 

Команда icacls.exe / setowner обнаруживает ошибку ACCESS_DENIED при обработке этих жестких ссылок.

Обратите внимание, что в документации icacls.exe говорится: «Этот параметр не вызывает смену владельца; используйте для этого служебную программу takeown. exe ».

Если вы столкнулись с ошибкой «Доступ запрещен» при настройке владения с помощью Icacls, возможно, вам придется полагаться на Takeown.exe, SubInACL или сторонний SetACL.exe (см. следующий абзац) утилита командной строки.

Использование SetACL.exe, чтобы стать владельцем и назначить разрешения

SetACL.exe — это сторонний инструмент командной строки (от HelgeKlein.com), который мы рассмотрели ранее.

SetACL: аргументы командной строки

Прежде чем продолжить, давайте посмотрим на синтаксис командной строки для изменения прав собственности и разрешений на файл / реестр с помощью SetACL.

 SetACL -on имя объекта -ot тип объекта -actn действие 

• -on : Укажите путь к объекту, с которым должен работать SetACL (например,g., файл, ключ реестра, общий сетевой ресурс, служба или принтер).
• -ot : укажите тип объекта. Чтобы изменить владельца или разрешения для файла или папки, используйте тип объекта файл . Для ключей реестра используйте тип объекта reg
• -actn : укажите действие, которое должен делать SetACL с указанным объектом. Чтобы стать владельцем, установите действие как setowner . Чтобы изменить разрешения, установите действие как ace .
• -ownr : укажите имя или SID доверенного лица (пользователя или группы) в этом формате — например, «n: администраторы»

(Полный список объектов, типов и поддерживаемых действий см. В документации SetACL.)

Вот несколько примеров, чтобы сменить владельца и предоставить разрешение на полный контроль:

Примеры: изменение владельца отдельного файла или папки:

 setacl.exe -on c: \ windows \ notepad.exe -ot file -actn setowner -ownr "n: NT Service \ TrustedInstaller"
setacl.exe -on c: \ windows \ notepad.exe -ot file -actn setowner -ownr "n: администраторы"
setacl.exe -on c: \ windows \ notepad. exe -ot file -actn setowner -ownr "n: John"

setacl.exe -on "d: \ test" -ot file -actn setowner -ownr "n: NT Service \ TrustedInstaller"
setacl.exe -on "d: \ test" -ot file -actn setowner -ownr "n: Администраторы"
setacl.exe -on "d: \ test" -ot file -actn setowner -ownr "n: John" 

Примеры: рекурсивная смена владельца:

Вариант 1: Чтобы установить владельца папки и ее подпапок ( не для файлов ) рекурсивно, используйте один из следующих примеров:

 setacl.exe -on d: \ test -ot file -actn setowner -ownr "n: NT Service \ TrustedInstaller" -rec продолжение
setacl.exe -on d: \ test -ot file -actn setowner -ownr "n: Администраторы" -rec cont
setacl.exe -on d: \ test -ot file -actn setowner -ownr "n: Ramesh" -rec cont 

• -rec — рекурсия включена.
• cont — Только каталоги рекурсии и обработки.

Вариант 2: Чтобы рекурсивно установить право собственности на файлы в папке и ее подпапках (, а не папки ), используйте один из следующих примеров:

 setacl. exe -on d: \ test -ot file -actn setowner -ownr "n: NT Service \ TrustedInstaller" -rec obj
setacl.exe -on d: \ test -ot file -actn setowner -ownr "n: администраторы" -rec obj
setacl.exe -on d: \ test -ot file -actn setowner -ownr "n: Ramesh" -rec obj 

• -rec — рекурсия включена.
• obj — Рекурсия и обработка только файлов.

Вариант 3: Чтобы установить владельца папки , ее подпапок и файлов рекурсивно, используйте один из следующих примеров:

 setacl.exe -on d: \ test -ot file -actn setowner -ownr "n: NT Service \ TrustedInstaller" -rec cont_obj
setacl.exe -on d: \ test -ot file -actn setowner -ownr "n: Администраторы" -rec cont_obj
setacl.exe -on d: \ test -ot file -actn setowner -ownr "n: Ramesh" -rec cont_obj 

• -rec — рекурсия включена.
• cont_obj — Рекурсия и обработка каталогов и файлов.

Примеры: Назначьте необходимые разрешения для файла или папки:

Получив право собственности, вы можете назначить необходимые разрешения для объекта. Вот несколько примеров:

Чтобы назначить разрешения для одного файла или папки , используйте один из следующих примеров:

 setacl.exe -on "d: \ test \ sample.xlsx" -ot file -actn ace -ace "n: администраторы; p: full"
setacl.exe -on "d: \ test \ sample.xlsx" -ot file -actn ace -ace "n: John; p: full"

setacl.exe -on "d: \ test" -ot file -actn ace -ace "n: администраторы; p: full"
setacl.exe -on "d: \ test" -ot file -actn ace -ace "n: John; p: full" 

Примеры: Рекурсивное назначение необходимых разрешений:

Вариант 1: Для папки и подпапок (не файлов) рекурсивно используйте один из следующих примеров:

 setacl.exe -on "d: \ test" -ot file -actn ace -ace "n: администраторы; p: full" -rec cont
setacl.exe -on "d: \ test" -ot file -actn ace -ace "n: John; p: full" -rec cont 

• -rec — рекурсия включена.
• cont — Только каталоги рекурсии и обработки.

Вариант 2: Для файлов в папке и подпапках (, не папки ) рекурсивно используйте один из следующих примеров:

 setacl.exe -on "d: \ test" -ot file -actn ace -ace "n: администраторы; p: full" -rec obj
setacl.exe -on "d: \ test" -ot file -actn ace -ace "n: John; p: full" -rec obj 

• -rec — рекурсия включена.
• obj — Рекурсия и обработка только файлов.

Вариант 3: Для папки , ее подпапок и файлов рекурсивно используйте один из следующих примеров:

 setacl.exe -on "d: \ test" -ot file -actn ace -ace "n: администраторы; p: full" -rec cont_obj
setacl.exe -on "d: \ test" -ot file -actn ace -ace "n: John; p: full" -rec cont_obj 

• -rec — рекурсия включена.
• cont_obj — Рекурсия и обработка каталогов и файлов.

Вы можете проверить официальную документацию SetACL, чтобы узнать о его полных возможностях. Однако для установки прав собственности и прав доступа к файлам и папкам для большинства пользователей будет более чем достаточно takeown.exe и icacls.exe.

Одна небольшая просьба: Если вам понравился этот пост, поделитесь им?

Об авторе

Рамеш Сринивасан основал Winhelponline.com еще в 2005 году. Он увлечен технологиями Microsoft и был самым ценным профессионалом Microsoft (MVP) в течение 10 лет подряд с 2003 по 2012 год.

Microsoft → Windows → Изменить владельца файла или папки с помощью инструмента командной строки Takeown

Восстановить TrustedInstaller в качестве владельца и его разрешения по умолчанию в Windows

Иногда, пытаясь настроить конфигурацию вашей системы на лишнюю милю, мы в конечном итоге меняем разрешения для определенных системных файлов и удаляем встроенную учетную запись TrustedInstaller как полноправного владельца этого файла. Теперь это может помочь вам настроить вашу систему, но когда вы хотите восстановить исходные настройки, позже вы не увидите его в списке доступных учетных записей пользователей, поскольку Windows 10 немного изменила настройки на этом фронте. .В этом руководстве мы покажем вам, как восстановить TrustedInstaller в качестве владельца по умолчанию и установить все права доступа к файлам / папкам по умолчанию.

Что такое TrustedInstaller

Прежде чем мы продолжим передачу прав доступа к файлам обратно в TrustedInstaller , давайте посмотрим, что это означает. Windows — широко используемая ОС, и поэтому безопасность становится главной проблемой. Есть некоторые системные файлы, папки и ключи реестра, которые необходимы для работающей ОС.Чтобы защитить целостность и предотвратить любой потенциальный сбой системы, эти файлы защищены в такой среде, где только TrustedInstaller имеет разрешения на изменение этих файлов, даже не администратор с повышенными правами. При этом становится кардинальным правилом сохранять права доступа к системным файлам только для учетной записи TrustedInstaller.

Восстановить TrustedInstaller как владельца по умолчанию

Вернемся к теме, давайте рассмотрим шаги по восстановлению разрешений TrustedInstaller:

1.Откройте File Explorer и перейдите к системному файлу / папке, разрешения которой вы хотите восстановить.

2. Нажмите Alt + Enter комбинацию клавиш , чтобы открыть его колонку Properties . Перейдите на вкладку Security и нажмите кнопку Advanced .

3. В окне Advanced Security Settings нажмите кнопку «Изменить» рядом с текущим владельцем этого файла / папки.

4.Далее вам нужно выбрать учетную запись пользователя / группы, которую вы хотите установить в качестве владельца для рассматриваемого файла / папки. Введите приведенный ниже текст в текстовое поле в разделе имени объекта и нажмите Проверить имена .