L'installazione di Security Configuration Manager da editor ACL di SP4 Changes Windows NT 4.0

Dopo aver installato Security Configuration Manager per Windows NT 4.0 Service Pack 4, l'editor dell'elenco di controllo di accesso (ACL) viene modificato.

Poiché Security Configuration Manager è stato originariamente progettato per Windows 2000, l'infrastruttura di eredità ACL di Windows 2000 è stato inoltre trasferite precedente a Windows NT 4.0 ed è disponibile quando è installato Security Configuration Manager. Ciò risulta evidente più facilmente l'impostazione di protezione tramite Esplora dopo l'installazione di Security Configuration Manager. Quando la scheda protezione è selezionata da dialogo di un oggetto file system, l'editor ACL di Windows 2000 viene esposta nel computer Windows NT 4.0.

Il modello di ereditarietà ACL di Windows 2000 è caratterizzato in modo più significativo dalla natura dinamica anziché statica. Per impostazione predefinita, le autorizzazioni per gli oggetti figlio vengono ereditate automaticamente dagli elementi padre. Questo è specificato dalla casella di controllo Consenti le autorizzazioni ereditabili dall'oggetto padre di propagare a questo oggetto disponibile nella prima pagina della finestra di dialogo Editor ACL. Se la casella di controllo è selezionata, le autorizzazioni ereditabili definiti nell'oggetto padre dell'oggetto figlio verranno applicate automaticamente e non possono essere modificati nell'oggetto figlio.

Il livello a cui è ereditabile un'autorizzazione è definito dalla finestra di dialogo Applica A esposte nella pagina avanzate della finestra di dialogo Editor ACL. Si supponga ad esempio la struttura di directory seguente:

Everyone gruppo dispone di autorizzazioni della directory principale e queste autorizzazioni si applicano a questa cartella, la sottocartelle e il file di controllo completo, Everyone sarà applicato il controllo completo sulla directory figlio purché la directory figlio consente autorizzazioni ereditabili dal padre di propagare a questo oggetto. Impossibile modificare questa autorizzazione per la directory figlio sull'oggetto figlio stesso, purché le autorizzazioni ereditabili Consenti dall'oggetto padre di propagare a questo oggetto è selezionato. Se autorizzazioni sul padre vengono modificate in modo che Everyone disponga di sola lettura, questa modifica avrà effetto anche sulla directory figlio automaticamente. Se le proprietà di ereditarietà per il gruppo viene modificato nella directory principale in modo che l'autorizzazione vengono applicate solo a questa cartella Everyone, Everyone sarà automaticamente essere rimossi dalla directory figlio.

Un amministratore può definire ulteriori autorizzazioni su un oggetto figlio oltre quelli che vengono automaticamente ereditate. Tali autorizzazioni vengono chiamati Explicit e possono essere modificati sull'oggetto figlio stesso in qualsiasi momento.

Se un amministratore non utilizza un oggetto figlio da cui ereditare padre, autorizzazioni ereditabili Consenti dall'oggetto padre di propagare a questo oggetto devono essere deselezionate. Quando è deselezionata, l'oggetto figlio viene detto protezione. Chiedere al momento che il sia applicata una protezione, l'editor ACL verrà all'amministratore che cosa deve essere eseguita con le autorizzazioni vengono attualmente ereditate. Queste autorizzazioni ereditate possono essere copiati nell'oggetto figlio o rimosso completamente. Quando un oggetto è protetto, contiene solo esplicite autorizzazioni. Si noti che gli oggetti figlio con autorizzazioni 4.0-style Windows NT che non sono coerenti con le autorizzazioni ereditabili definiti nel padre siano protetti automaticamente nell'eredità ACL di nuovo.

Gestione configurazione protezione consente agli amministratori di eseguire l'override del comportamento normale del modello di ereditarietà di ACL che specifica che devono essere riconfigurati tutti gli oggetti figlio di un determinato oggetto se sono protetti o non. In effetti, questa è la modalità sola dell'operazione che è supportato in Windows NT 4.0 di Security Configuration Manager, è specificato da selezionare il pulsante di opzione Sovrascrivi quando definisce la protezione di un File System o di un registro di sistema oggetto tramite Security Configuration Manager.

In modalità di sovrascrittura, tutti i figli dell'oggetto specificato sono impostati su ereditano dall'oggetto viene definito il cui tipo di protezione. Per specificare impostazioni di protezione diversi per gli oggetti figlio, è necessario aggiungere in modo esplicito gli oggetti figlio al file di configurazione di protezione. Questi oggetti figlio potrebbero essere protetto, nel qual caso l'oggetto non rallentare la protezione dell'elemento padre o gli oggetti figlio possono ereditare, nel qual caso è possibile definire ulteriori autorizzazioni esplicite dell'oggetto figlio. Infine, per gli oggetti figlio che l'amministratore non desidera tocco, gli oggetti figlio devono essere aggiunta al file di configurazione protezione con l'attributo Ignora, anziché sovrascrivere.

SCM è disponibile per il download e nella cartella Mssce il CD di Windows NT 4.0 Service Pack 4. Per ulteriori informazioni sul download di SCM, vedere il seguente articolo della Microsoft Knowledge Base riportato di seguito:

Problemi noti con il nuovo editor autorizzazioni

• Il nuovo editor autorizzazioni non viene esposto quando si utilizza Regedt32.exe; tuttavia, viene utilizzato da Gestione configurazione protezione durante la configurazione della protezione per le chiavi del Registro di sistema.
• Le autorizzazioni modificate utilizzando il nuovo editor non sono visualizzabili utilizzando l'editor precedente. Infatti, l'editor precedente è limitato in termini delle funzionalità per visualizzare e modificare diversi tipi di autorizzazioni validi. L'editor precedente funziona solo con autorizzazioni sono molto semplici che è stata modificata utilizzando la stessa.

Disinstallazione di nuovo editor di autorizzazioni

Disinstallazione del nuovo editor autorizzazioni non è consigliata poiché verrà eseguito il rendering Security Configuration Manager non funzionali. Se è necessario disinstallarlo, procedere come segue:

1. Passare il windir%\System32 %.
2. Rinominare Rshx32_5.dll Rshx32_5.sav.
3. Rinominare Rshx32.dll Rshx32_5.dll.

Avviare Esplora ed esaminare le proprietà di una cartella o un file NTFS. L'Editor autorizzazioni precedente dovrebbe apparire su tale scheda.

Dopo la reinstallazione dell'editor precedente, è necessario esaminare la protezione in tutti i file e le cartelle è stata modificata con l'editor nuovo. Questo verrà visualizzato un messaggio di errore che informa che le autorizzazioni non sono visualizzabili e fornirà l'opportunità di ridefinire nuove autorizzazioni e di ripristinarle.