Instalando o Gerenciador de configuração de segurança a partir SP4 Changes Windows NT 4.0 ACL Editor

Após você instalar o Gerenciador de configuração de segurança para Windows NT 4.0 Service Pack 4, o editor de lista de controle de acesso (ACL) é modificado.

Como Gerenciador de configuração de segurança foi originalmente criado para o Windows 2000, a infra-estrutura herança de ACL do Windows 2000 também foi revertidas para o Windows NT 4.0 e está disponível quando o Gerenciador de configuração de segurança está instalado. Isso é mais prontamente aparente quando a configuração de segurança através do Windows NT Explorer após a instalação Security Configuration Manager. Quando a guia de segurança é selecionada caixa de um objeto do sistema de arquivos de diálogo Propriedades, o Editor de ACL do Windows 2000 é exposto no computador Windows NT 4.0.

O modelo de herança da ACL do Windows 2000 é significativamente mais caracterizado por natureza dinâmica em vez de estática. Por padrão, permissões em objetos filho são herdadas automaticamente do seu pai. Isso é especificado, a caixa de seleção Permitir permissões herdadas do pai se propaguem para este objeto disponível na primeira página da caixa de diálogo Editor de ACL. Quando marcada, as permissões herdáveis definidas no objeto pai são automaticamente aplicadas ao objeto filho e não podem ser alteradas no objeto filho.

O grau ao qual uma permissão é herdável é definido pela caixa de diálogo Aplicar A expostos na página avançada da caixa de diálogo Editor de ACL. Por exemplo, suponha a seguinte estrutura de diretório:

Se o grupo Todos possui permissões controle total no diretório pai e aplicam essas permissões para essa pasta, subpastas e arquivos, todos também terá controle total no diretório filho, desde que o diretório filho permite que as permissões herdáveis do pai se propaguem para este objeto. Esta permissão no diretório filho não pode ser modificado no próprio objeto filho, desde que a Allow inheritable permissions from pai se propaguem para este objeto está marcada. Se as permissões no pai são alteradas para que todos possui somente leitura, essa modificação também afetará o diretório filho automaticamente. Se as propriedades de herança para todos grupo é modificado no diretório pai para que a permissão Aplicar somente a esta pasta, todos serão automaticamente ser removido do diretório filho.

Um administrador pode definir permissões adicionais em um objeto filho além daqueles que estão sendo herdadas automaticamente. Essas permissões são chamados explícita e podem ser modificados no próprio objeto filho a qualquer momento.

Se um administrador não deseja que um objeto filho para herdar do pai, a Allow inheritable permissions from pai se propaguem para este objeto deve ser desmarcada. Quando desmarcada, o objeto filho é chamado de ser protegido. No momento que o objeto filho é protegido, o editor de ACL pedirá o administrador o que deve ser feito com as permissões que atualmente estão sendo herdadas. Essas permissões herdadas podem ser copiados para o objeto filho ou removidos completamente. Quando um objeto estiver protegido, ele contém somente Explicit permissões. Observe que os objetos filho com o Windows NT 4.0 estilo permissões que não são consistentes com as permissões herdáveis definidas no pai automaticamente são protegidos sob a herança de ACL nova.

Gerenciador de configuração de segurança permite que os administradores substituir o comportamento normal do modelo de herança do ACL, especificando que todos os objetos filho de um determinado objeto devem ser reconfigurados se elas são protegidas ou não. Na verdade, isso é o único modo de operação que há suporte para a versão do Windows NT 4.0 do Gerenciador de configuração de segurança e é especificado selecionando o botão Substituir ao definir a segurança de um sistema de arquivos ou o objeto de registro por meio de Gerenciador de configuração de segurança.

No modo de substituição, todos os filhos do objeto especificado são definidos como herdam o objeto cuja segurança está sendo definida. Para especificar configurações de segurança diferentes para objetos filho, os objetos filho devem ser explicitamente adicionados ao arquivo de configuração de segurança. Esses objetos filho podem ser protegidos, caso em que o objeto não é afetado pela segurança de seu pai, ou podem herdar os objetos filho, caso em que as permissões explícitas adicionais podem ser definidas no objeto filho. Finalmente, para objetos filho que o administrador não deseja tocar, os objetos filho devem ser adicionados ao arquivo de configuração de segurança com o atributo Ignorar, em vez de substituir.

O SCM está disponível para download e na pasta MSSCE no CD-ROM do Windows NT 4.0 Service Pack 4. Para obter mais informações sobre download SCM, consulte o seguinte artigo na Base de dados de Conhecimento da Microsoft:

Problemas conhecidos com o novo editor de permissões

• O novo editor de permissões não é exposto ao usar o Regedt32.exe; no entanto, ele é usado pelo Gerenciador de configuração de segurança ao configurar segurança para chaves do Registro.
• Editados usando o novo editor de permissões não são visíveis usando o editor antigo. Isso ocorre porque o antigo editor é limitado em termos de seus recursos para exibir e editar tipos diferentes de permissões válidos. O antigo editor funciona apenas com as permissões que são muito simples ou foram editadas usando o próprio.

Desinstalando o novo editor de permissões

Não é recomendável desinstalar o novo editor de permissões, porque ele processará Gerenciador de configuração de segurança não-funcionais. Se você deve desinstalá-lo, execute as seguintes etapas:

1. Vá para o % Windir%\System32.
2. Renomeie Rshx32_5.dll para Rshx32_5.sav.
3. Renomeie Rshx32.dll para Rshx32_5.dll.

Inicie o Windows NT Explorer e examine as propriedades em uma pasta ou um arquivo NTFS. O antigo editor de permissões deverá aparecer no guia de segurança.

Depois de reinstalar o antigo editor, você deve examinar a segurança em todos os arquivos e pastas que você pode ter editado com o novo editor. Isso exibirá uma mensagem de erro informando que as permissões não são visíveis e lhe dará a oportunidade de redefini-las e redefinir novas permissões.