Windows - Hozzáférés-vezérlő listák megjelenítése

A Windows 2000 Resource Kit parancssori eszköze, a ShowACLs felsorolja a fájlokhoz, mappákhoz, faszerkezetekhez tartozó hozzáférési jogokat. Segítségével maszkolható a kigyűjtés megadott listákra.

A ShowACLs csak NTFS partíciókon működik.

A leginkább hasznos tulajdonsága az eszköznek, hogy megjeleníti egy megadott felhasználó jogosultságait. A módszer, amelyet a ShowACLs használ, hogy mindezt megvalósítsa, az, hogy sorba veszi a helyi és globális csoportokat, amelyeknek a megadott felhasználó a tagja, és megfelelteti a biztonsági azonosítóját (SID) a felhasználónak és a csoportnak, a hozzáférési vezérlő lista (ACL) bejegyzéseivel.

Az NTFS az ACL listákat arra használja, hogy jogosultságokat állítson be a felhasználókhoz és a csoportokhoz az objektumokon. Az ACL-ek a hozzáférési vezérlőelemekből (ACE) épülnek fel. Minden ACE bejegyzés információval rendelkezik, amely vezérli a jogosultságait egy megadott felhasználónak vagy csoportnak. Jelenleg négy ACE típus definiált; Access Allowed – engedélyezett hozzáférés, Access Denied – tiltott hozzáférés, System Alarm – rendszerriasztás, System Audit – rendszerfelügyelet. Minden ACE bejegyzésnek egy általános ACE fejléce van, valamint egyedi adatstruktúrája. Az adott ACE bejegyzéshez megfeleltetett SID az ACE fejléc után található meg.

Az egyik probléma a ShowACLs szerű parancssori eszközökkel az információmennyiség, amelyet az ACL tartalmaz. Az első verziója a ShowACLs-nek megpróbált megjeleníteni minden adatot a hozzáférési maszkban, amely nagyon összetéveszthető volt. A legutóbbi verzió a "standard" jogosultságokat fogadta be, Full, Change és Read-Only jogosultságokat ott, ahol helyénvaló. Ha egy maszk nem egyezik ezekkel az előre definiált értékekkel, akkor egy ömlesztett maszk áll elő.

Szintaxis

showacls [/s] [/u:domain\user] [filespec]

Ahol:

/s: alkönyvtárakat is beszámítja
/u:domain\user: meghatározott tartomány\felhasználó

Értékek	ACE fejléc értékek
0x1	Az objektum örökli az ACE-t.
0x2	A tároló örökli az ACE-t.
0x4	Nem propagálja az öröklődő ACE-t.
0x8	Csak az ACE öröklődik.

Hozzáférési maszkértékek

D - Delete. Engedélyezi, vagy tiltja egy fájl vagy mappa törlését. Ha nincs törlési jogunk egy fájlon vagy mappán, akkor csak úgy törölhetjük, ha almappa- és fájltörlési jogunk van a felette elhelyezkedő könyvtárra.
a - File Append. Az adathozzáfűzés engedi, vagy tiltja változtatások létrehozását a fájl végétől, de nem jelent változtatást, törlést vagy felülírást a meglévő adatokra (csak fájlokra érvényesíthető).
fx - File Execute. Programok futtatásának engedélyezése vagy tiltása (csak fájlokra érvényes).
r - File Read. Engedélyezi, vagy tiltja egy fájl vagy mappa attribútumainak megtekintését, pl.: read-only vagy hidden. Az attribútumokat az NTFS definiálja.
w - File Write. Engedi, vagy tiltja egy fájl tartalmának írását, felülírását (csak fájlra vonatkozhat).
A - Generic All. Általánosan mindent enged, vagy tilt.
X - Generic Execute. Programok futtatásának engedélyezése vagy tiltása (csak fájlokra érvényes).
R - Generic Read. Engedélyezi, vagy tiltja egy fájl vagy mappa attribútumainak megtekintését, pl.: read-only vagy hidden. Az attribútumokat az NTFS definiálja.
W - Generic Write. Egy fájl, vagy mappa attribútumainak változtatását teszi lehetővé, vagy tiltja.
l - List Directory. Mappa, vagy almappa neveinek megtekintését engedélyezi, vagy tiltja (csak mappára vonatkozhat).
d - Read Data. Fájladatok megtekintésének engedélyezése vagy tiltása. (csak fájlokra vonatkozhat).
rE - Read EA. Fájlokra, mappákra vonatkozó kiterjesztett attribútumok megtekintésének engedélyezése, tiltása. A kiterjesztett attribútumokat programok definiálhatják.
S - Synchronize. Különálló szálak számára engedi, vagy tiltja, hogy várjon a fájl kezelésével, és szinkronizálja a kezelést más szálakkal. Ez a jogosultság csak a többszálú, több folyamatot kezelő programokra vonatkozik.
rW - Write EA. Kiterjesztett attribútumok módosításának lehetőségét nyújtja, vagy tiltja.