Ich habe ein interessantes Tool entdeckt, mit dem man unter Windows Zugriffsberechtigungen relativ komfortabel per Befehlszeile setzen kann. Also das Äquivalent zum chmod der Unixwelt.
Das Problem ist wohl einfach, dass die Windows ACLs einfach unnötig kompliziert sind: Sprich in der Praxis werden Sie seltenst voll ausgereizt und die Gefahr, dass ein unbedarfter Hobby-Administrator völlig an der Komplexität verzweifelt und einfach nur noch „jedem überall“ Zugriff gibt, ist groß.
Hier mal die Zugriffsberechtigungen auf einem Standard-XP-System auf die Datei C:\boot.ini
C:\Programme\Windows Resource Kits\Tools>subinacl /file c:\boot.ini
==================
+File c:\boot.ini
==================
/control=0x1400 SE_DACL_AUTO_INHERITED-0x0400 SE_DACL_PROTECTED-0x1000
/owner =vordefiniert\administratoren
/primary group =system
/audit ace count =0
/perm. ace count =3
/pace =vordefiniert\hauptbenutzer ACCESS_ALLOWED_ACE_TYPE-0x0
Type of access:
Read
Detailed Access Flags :
FILE_READ_DATA-0x1 FILE_READ_EA-0x8 FILE_EXECUTE-0x2
0
FILE_READ_ATTRIBUTES-0x80 READ_CONTROL-0x20000 SYNCHRONIZE-0x10
0000
/pace =vordefiniert\administratoren ACCESS_ALLOWED_ACE_TYPE-0x0
Type of access:
Full Control
Detailed Access Flags :
FILE_READ_DATA-0x1 FILE_WRITE_DATA-0x2 FILE_APPEND_DATA
-0x4
FILE_READ_EA-0x8 FILE_WRITE_EA-0x10 FILE_EXECUTE-0x2
0 FILE_DELETE_CHILD-0x40
FILE_READ_ATTRIBUTES-0x80 FILE_WRITE_ATTRIBUTES-0x100 DELETE-0x10000
READ_CONTROL-0x20000
WRITE_DAC-0x40000 WRITE_OWNER-0x80000 SYNCHRONIZE-0x10
0000
/pace =system ACCESS_ALLOWED_ACE_TYPE-0x0
Type of access:
Full Control
Detailed Access Flags :
FILE_READ_DATA-0x1 FILE_WRITE_DATA-0x2 FILE_APPEND_DATA
-0x4
FILE_READ_EA-0x8 FILE_WRITE_EA-0x10 FILE_EXECUTE-0x2
0 FILE_DELETE_CHILD-0x40
FILE_READ_ATTRIBUTES-0x80 FILE_WRITE_ATTRIBUTES-0x100 DELETE-0x10000
READ_CONTROL-0x20000
WRITE_DAC-0x40000 WRITE_OWNER-0x80000 SYNCHRONIZE-0x10
0000
Elapsed Time: 00 00:00:00
Done: 1, Modified 0, Failed 0, Syntax errors 0
Last Done : c:\boot.ini
Zum Vergleich die Linux Dateiberechtigungen:
self@self-laptop:~$ ls -al /boot/grub/menu.lst
-rw-r--r-- 1 root root 6146 2007-06-17 19:39 /boot/grub/menu.lst
damit kann man doch meist auch ganz gut leben?