klink0v (klink0v) wrote,
klink0v
klink0v

Category:

Восстановление прав доступа на NTFS

Позвонил человек проконсультироваться. Он решил "защитить" свой сервер и не подумавши убрал "лишние" права пользователям на корень диска "C:\". Да потом ещё "до кучи" жмакнул пимпу "применить рекурсивно к подкаталогам". Ему повезло, система после этого варварства таки запустилась. Но вот залогиниться уже не судьба, ни под кем. Ни в обычном режиме, ни в безопасном (safe mode). После логина идет переключение в контекст пользователя, а там правов-то ни на что и нетути, в том числе и на собственный же профиль. В том числе и у builtin-админа. Вам смешно, а ему грустно.

Я ему посоветовал загрузиться с LiveCD и для начала починить права на корень, чтобы хоть как-нибудь под админом впустило бы, а там видно будет. Вроде получилось. А потом мне самому стало интересно, что обычно народ делает в подобных случах. Набрел вот на такие рецепты (речь идет о Win2K3).

http://serverfault.com/questions/53325/resetting-ntfs-permissions-disk-wide

Для не-системных разделов:

TAKEOWN /f "X:\" /r /d y
ICACLS "X:\" /reset /T

Для системных разделов:

secedit /configure /db secedit.sdb /cfg %SystemRoot%\defltsv.inf /overwrite /verbose

Для семёрки народ советует вот так:

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

для не-системных разделов:

icacls * /T /Q /C /RESET

Сам не пробовал, но пишут что помогает.

Но это еще полдела. Пока там он там ковырялся, система успела понасоздавать кучу пустых профилей типа "Administrator.SERVER000". Естественно, после "починки" профиль стал смотреть в "неправильную" свежесозданную папку. Соответственно, все что было на "Рабочем столе" и в "Моих документах" потерялось.

Тут приходит на помощь вот этот совет: http://allinthehead.com/retro/151/recovering-a-windows-profile

Нужно сперва разлогиниться тем пользователем, которого "чиним", вынести из "Documents and Settings" все "лишние" папки, в разделе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

найти нужного нам юзверя и исправить для него путь к профилю. Перезагрузиться.

Вот как-то так и живём.



Ретранслировано из Я.ру
Subscribe

  • Очередная багофича в Juniper SRX

    ... Ну вы уже поняли, насколько горячей любовью я их "обожаю". Дано. Техническая площадка. На ней контроллер домена MS AD. IPSec-тоннель…

  • Juniper + IPSec + MTU = баги

    Хотите еще багов ждунипера? Их есть у меня. Наступил на очередную пачку. Причём, практически на ровном месте. Вводные следующие. Есть IPSec-тоннель…

  • Памятка по APT и GPG в Debian-based

    ... Начиная с Debian 11 и Ubuntu 20 механизм "apt-key" признан официально устаревшим (deprecated). Сейчас предлагается самостоятельно…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments