Como concedo aos administradores acesso a uma pasta sem destruir as permissões atuais?

Eu tenho uma pasta que não consigo acessar de uma conta que faz parte do grupo Administradores no Windows 7.

Se eu abrir a guia Segurança nas propriedades, vejo "Você não tem permissão para exibir ou editar as configurações de permissão deste objeto".

Se eu clicar em avançado e ir para a guia do proprietário, ele informa que é "Não é possível exibir o proprietário atual".

Eu posso obter acesso à pasta reatribuindo a propriedade, mas isso destrói as permissões atuais na pasta.

Portanto, existe alguma maneira de conceder aos administradores acesso à pasta sem assumir o controle e destruir as permissões atuais.

Algumas escavações cuidadosas revelam que a apropriação às vezes destrói as permissões existentes e outras não. Tudo parece depender se você tenta e faz isso recursivamente . Observe que o Windows avisa quando ele substituirá as permissões existentes, mas (pelo menos na GUI) é muito fácil apenas OK na mensagem sem ler ou entendê-la completamente.

Para vê-lo, você precisará de um diretório (c: \ SomeFolder neste exemplo) que pertence a uma conta de usuário diferente e à qual você e o grupo de administradores não têm acesso.

Linha de comando

Usando a ferramenta "takeown" da linha de comando:

TAKEOWN / A / R / F c: \ Alguma Pasta

você deve ver algo como

SUCESSO: O arquivo (ou pasta) "c: \ SomeFolder" agora pertence ao grupo de administradores.

Você não tem permissão para ler o conteúdo do diretório "c: \ SomeFolder"

Deseja substituir as permissões do diretório por permissões que concedem controle total ("Y" para SIM, "N" para NÃO, "C" para CANCELAR)?

Observe que, se você responder sim aqui, isso realmente significa substituir as permissões. Quaisquer permissões existentes serão destruídas. Se você responder não, você ainda não tem permissões na pasta, mas agora é o proprietário, portanto, poderá se conceder permissões normalmente e sem destruir as que já existem.

Se você não especificar o sinalizador recursivo (/ R), não receberá o aviso e o proprietário será alterado sem afetar outras permissões.

GUI

Você precisará usar a guia "segurança" da janela de propriedades para alterar qualquer coisa através da GUI. Isso fornece dois botões: "continuar" e "avançado". Avançado fornece uma janela com as quatro guias: "permissões", "auditoria", "proprietário" e "permissões efetivas". Continuar fornece apenas a guia "proprietário".

Se você selecionar um novo proprietário e marcar a caixa "aplicar às subpastas", pressionar OK ou aplicar exibirá a caixa de mensagem "Deseja substituir as permissões" que, novamente, realmente significa substituir permissões. Se você não marcar a caixa de subpastas, não receberá o aviso e tudo se comportará conforme o esperado.

É muito fácil não ler completamente esta caixa de mensagem, suponha que seja apenas outra caixa solicitando que você confirme algo não destrutivo e pressione Enter para OK. Também é muito fácil supor que eles não poderiam realmente significar substituir, porque ninguém sã gostaria de fazer isso.

Se você não estiver listado como "pode ​​ler / alterar permissões" na ACL da pasta, não poderá alterá-las, independentemente de quem ou o que você é. Todos os usuários, administradores, integrados, até nt authority\system, são tratados igualmente pelo código de segurança. (O privilégio "Apropriar-se" em todo o sistema é uma exceção, mas também não pode modificar a ACL, apenas redefini-la.)

Você deve fazer login como alguém que é permitido fazer isso, seja diretamente (nome de usuário + senha) ou - se você tem um monte de tempo livre - fazendo alguma SeCreateTokenPrivilege magia .

Não há problema em usar a caixa de seleção "Substituir proprietário em subcontêineres e objetos" realçada em verde. Não é permitido processar a caixa de seleção "Substituir todas as entradas de permissões de objetos filho" realçada em vermelho. O último substituirá as ACLs existentes (permissões) em vez de apenas alterar o proprietário.