Início / computer / Perguntas / 1842827
Accepted
Bradley Hayes
Asked: 2024-05-18 14:39:40 +0800 CST

Windows 10. Perdi acesso aos meus arquivos como administrador

  • 772

Sou o administrador e não consigo mais acessar meus arquivos na unidade d. Também não consigo alterar as permissões de acesso, mesmo executando o Explorer.exe como administrador.

Eu estava tentando criar um usuário padrão que não tivesse acesso a todos os meus arquivos para que pudesse permitir que outras pessoas usassem meu computador com segurança.

No entanto, o Windows permite que todos os usuários os acessem, independentemente do tipo de conta. Parece considerar apenas as pastas do usuário como fora dos limites, o que parece muito estranho. Eu acho que apenas administradores/proprietários podem acessar todos os arquivos do sistema sem restrições.

Então, edito as permissões e vejo que todos os usuários autenticados têm acesso à unidade e obviamente não quero isso, então edito e clico em negar.

Obviamente, eu não esperava ter o acesso negado sendo um Administrador e vendo que os Administradores têm controle total como uma permissão separada daquela que acabei de editar, mas aqui estamos.

Estou completamente bloqueado da unidade. Então, tento editar as permissões e devolver o controle total a todos os usuários autenticados e isso pareceu bom no início. Então tentei negar acesso especificamente ao novo usuário padrão.

Tentei voltar para o usuário autenticado e clicar em negar e, em seguida, controle total novamente e clicar em aplicar para redefini-lo. Fazendo isso fica aparecendo erros dizendo que não tenho acesso para enumerar o conteúdo das pastas.

Agora posso ver as pastas na raiz da unidade, mas não consigo acessar nada dentro delas.

Claramente, a interface de permissões no Windows 10 é inútil. Existe algum comando do PowerShell que eu possa executar para devolver permissão e corrigir essa situação.

Não consigo formatar a unidade para não sugerir isso. Todos os meus arquivos pessoais estão lá.

O resultado ideal que procuro::

  • Todos os administradores têm acesso a tudo.
  • O novo usuário padrão que criei não pode acessar nada na unidade D, exceto,
  • selecione algumas pastas na unidade às quais eu lhes concedo acesso especificamente.
  • os novos usuários padrão criados não terão acesso à unidade, a menos que seja dada permissão explicitamente, assim como o usuário anterior.
windows

1 respostas

  1. Best Answer

    Obviamente, eu não esperava ter o acesso negado sendo um Administrador e vendo que os Administradores têm controle total como uma permissão separada daquela que acabei de editar

    As permissões de arquivo no Windows funcionam assim:

    1. Todas Denyas entradas têm prioridade.
    2. Então, todas Allowas entradas são consideradas.
    3. Finalmente, se o usuário não estiver na lista, o acesso também será negado.

    Então, em geral, o que você deveria ter feito é remover as Allowentradas de acesso em vez de adicionar Denyentradas – não as use se puder evitá-las.

    Como exceção, o proprietário sempre pode definir novas permissões – e um Administrador sempre pode se tornar o proprietário (assumir a propriedade) – portanto, a recuperação disso quase sempre começa com a definição de você mesmo ou do grupo Administradores como o novo proprietário. Isso permite definir uma nova lista de acesso que lhe concede controle total – e então você repete o processo com todas as subpastas.

    Às vezes, o Windows Explorer se oferece para fazer isso assim que você tenta abrir a pasta (ou quando tenta ver as permissões de algo), mas é mais comum que isso seja feito usando o takeownprograma.

    takeown /a /r /d y /f D:\

    Ele /d ytambém solicita que ele redefina automaticamente as permissões, para que possa recuperar o conteúdo de todo o disco recursivamente.

    Configurando as restrições

    Assim que tiver seu acesso de volta, edite a lista de acesso D:\ novamente, de preferência através da Advancedvisualização (ou através de CLI elevado se preferir, embora uma das etapas seja tediosa de ser feita via CLI).

    • Se você estiver restringindo um subdiretório, desative “Herdar permissões” e escolha ‘Copiar’. Não é necessário para todo o disco, pois não há nada para herdar.

      icacls D:\Foo /inheritance:d

    • Remova "Usuários", "Usuários autenticados", "Todos" e entradas semelhantes, se ainda estiverem lá - mantendo apenas Administratorse SYSTEM(e sua própria conta, para UAC). Qualquer outra pessoa que não esteja na lista não terá acesso automaticamente, portanto não há necessidade de listá-la explicitamente.

      icacls D:\ /remove "Authenticated Users"
icacls D:\ /remove "Everyone"

      Nota: Devido ao Windows UAC, a Administratorsconcessão só terá efeito quando você executar programas "elevados" (ou seja, 'Executar como Administrador'). Portanto, se você clicar em 'Aplicar' neste momento e não estiver pessoalmente na lista de acesso, perderá o acesso por meio do Explorer (que nunca é executado de forma elevada) - mas isso não é um problema, pois você pode simplesmente adicionar-se por meio do PowerShell elevado. ou Total Commander ou qualquer outro gerenciador de arquivos.

    • Conceda a si mesmo acesso de controle total (takeown provavelmente já terá feito isso, mas faça-o mesmo assim, apenas por precaução).

      icacls D:\ /grant "Bradley:(OI)(CI)(F)"

      O (OI)e (CI)marca a entrada como herdável (ou seja, equivalente a "Aplica-se a: Esta pasta, subpastas e arquivos").

    • Conceda acesso de leitura/lista a "Usuários autenticados" novamente, mas marque-o como não herdável - ou seja, "Aplica-se apenas a: esta pasta" - para que eles ainda possam listar as pastas de nível superior, mas não descer para elas.

      icacls D:\ /grant "Authenticated Users:(R)"

      A ausência (OI)(CI)significa que a entrada de acesso não será herdada. Esta etapa é tecnicamente opcional (os usuários ainda podem acessar os itens se souberem o caminho, por exemplo, se você criar um atalho .lnk para eles), mas tornará as coisas mais convenientes.

    • Por precaução, marque a caixa "Substituir todas as permissões de objeto filho" ao salvar as alterações (isso só precisa ser feito uma vez), para que tudo dentro seja forçado a herdar das permissões que você acabou de definir na raiz do disco.

      (the * is important, you want to only reset children)
icacls D:\* /reset /t

(approximate equivalent)
gci D:\ | % { icacls "$_.fullname" /reset /t }

    • Por fim, em cada uma das pastas específicas que o usuário precisa acessar, basta adicioná-las à lista de acesso daquela pasta. Isto pode ser feito através da visualização normal da aba ‘Segurança’.

      icacls D:\Videos /grant "Users:(OI)(CI)(R,W)"

    Caso você queira permitir o acesso a uma pasta inteira, mas proibir uma subpasta específica, muitas vezes ainda é melhor evitar entradas 'Negar' e, em vez disso, desabilitar a herança de permissão nessa pasta, o que permitiria remover as entradas indesejadas dela especificamente.

    Nota lateral: há muito pouca diferença entre Authenticated Userse Everyone(todas as versões do Windows desde o XP excluem Anonymous de Todos). Também há pouca diferença entre eles e o Usersgrupo normal se as contas de convidados não forem usadas.

    • 3

relate perguntas