Změní výchozí nastavení systému souborů NTFS volitelný přístup ovládacího prvku seznamu (DACL) v systému Windows Vista

Překlady článku Překlady článku
ID článku: 949608 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

V systému Windows Vista systém Discretionary souborů NTFS Přístup Ovládací prvek Seznamy Povolit sdílení dat a spolupráce v datech byly změněny (DACL) adresáře, které jsou mimo chráněný adresáře. Je chráněné adresáře uživatele profil uživatele. Pro například předpokládá, že je v adresáři C:\Users\Denise\Pictures chráněném adresáři. A data adresář je adresář, který je vytvořen mimo tento chráněný adresářové struktury. D:\Pictures je adresář, který je mimo chráněné strukturu.

Předpokládejme, že Havel přihlásí do svého počítače se systémem Windows Vista a vytvoří nový adresář na její externího pevného disku (jednotka D). Karel názvy na adresář FamilyPictures. Později, Karel jeho SYN, Brianu, přihlášení k počítači. Vytvoří Brianu nový adresář, s názvem SummerVacationPics v FamilyPictures adresář. Brianu pak uloží několik obrázků v adresáři SummerVacationPics. Pokud Nastavení systému Windows XP DACL použije pro adresář SummerVacationPics, Denisa nelze upravit obrázky v Adresář SummerVacationPics. To chování dochází, protože seznamech DACL označit Brianu jako pouze uživatel, který má oprávnění k zápisu. Však DACL výchozí má chování byl změněn v systému Windows Vista. Proto v systému Windows Vista Denisa lze provádět úpravy obrázků v adresáři SummerVacationPics fotografií.

Tyto DACL změny umožňují uživatelům sdílet a upravovat soubory bez určení pověření v Řízení uživatelských účtů Dialogové okno. Navíc mohou uživatelé ručně provést adresář soukromé. Tato funkce záruky, které mohou uživatelé snadno zachovat důvěrnost dat a dat Integrita dat jednotky. Privátní adresáře jsou čitelné správce, pokud správce byl přidělen režim zvýšená oprávnění. Funkce "zvýšená režim" nutno zachovat data ze standardní uživatelé soukromé. Je použito nastavení DACL systému Windows Vista během instalace a které jsou přeneseny žádné rozpoznána jednotka splňuje-li jeden z následujících kritérií:
  • Jednotka neobsahuje operačního systému Windows.
  • Je jednotka formátována pomocí výchozí seznam DACL systému Windows XP nastavení.

Další informace

Aktualizace nástroje

Byly změněny nástroje příkazového řádku Convert.exe a Format.exe v systému Windows Vista obsahuje nové možnosti pro nový Nastavení DACL. Však Tyto nástroje nelze převést existující nastavení DACL systému Windows XP nastavení DACL systému Windows Vista. Změna existujícího nastavení DACL systému Windows XP nastavení DACL systému Windows Vista, musíte použít nástroj příkazového řádku programu Cacls.exe v Systém Windows Vista. Například následující příkaz převede stávající Windows Nastavení XP DACL Jednotka dat D:\ k Nastavení DACL systému Windows Vista:

Cacls D:\ /s:D: (A; OICI;GA;;BA) (A; OICI;GA;;SY) (A; OICI;SDGXGWGR;;AU) (A; OICI;GXGR;;BU)

Nastavení DACL v systému Windows Vista

Můžete určit pomocí následující tabulky zkratek výsledky přístup ovládací prvek Položka Dědičnost (ACE).

Přístup k řízení vstupu dědičnost zkratky
Zmenšit tuto tabulkuRozšířit tuto tabulku
ZkratkaPopis
CIDědit kontejner. Položka řízení přístupu bude děděno adresáře.
OIObjekt dědit. Položka řízení přístupu bude děděno soubory.
IOPouze dědit. Položka řízení přístupu neplatí pro aktuální soubor a adresář.
NPDědičnost nebudou předány.
Nastavení DACL jednotky pro adresář % systemroot % systému Windows XP a data

Jsou následující výchozí nastavení DACL % systemroot % adresáře a pro data jednotky v systému Windows XP.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Uživatel nebo skupinaPoložka řízení přístupuDědičnost položka řízení přístupu
BUILTIN\AdministratorsÚplné ovládací prvek(OI)(CI)
NT AUTHORITY\SYSTEM.Úplné ovládací prvek(OI)(CI)
SKUPINA CREATOR OWNERÚplné řízení(OI)(CI)(IO)
BUILTIN\UsersPro čtení(OI)(CI)
BUILTIN\UsersSpeciální přístup: FILE_APPEND_DATA(CI)
BUILTIN\Users Speciální přístup: FILE_WRITE_DATA(CI)(IO)
Všichni uživateléPro čtení
Nastavení DACL jednotky dat systému Windows Vista

Následující nové nastavení pro datové jednotky, které jsou vytvořeny pomocí systému Windows Vista DACL Format.exe program.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Uživatel nebo skupinaPoložka řízení přístupuDědičnost položka řízení přístupu
BUILTIN\AdministratorsÚplné řízení
BUILTIN\AdministratorsÚplné ovládací prvek(OI)(CI)(IO)
NT AUTHORITY\SYSTEM.Úplné řízení
NT AUTHORITY\SYSTEM.Úplné ovládací prvek(OI)(CI)(IO)
NT AUTHORITY\Authenticated UsersUpravit
NT AUTHORITY\Authenticated UživateléUpravit(OI)(CI)(IO)
BUILTIN\UsersČíst a spouštět
BUILTIN\UsersObecné čtení obecný spustit(OI)(CI)(IO)
Windows Vista % kořenová_složka_systému % directory nastavení DACL
Zmenšit tuto tabulkuRozšířit tuto tabulku
Uživatel nebo skupinaPoložka řízení přístupuDědičnost položka řízení přístupu
BUILTIN\AdministratorsÚplné řízení
BUILTIN\AdministratorsÚplné ovládací prvek(OI)(CI)(IO)
NT AUTHORITY\SYSTEM.Úplné řízení
NT AUTHORITY\SYSTEM.Úplné ovládací prvek(OI)(CI)(IO)
BUILTIN\UsersČíst a spouštět(OI)(CI)
NT AUTHORITY\Authenticated UživateléUpravit(OI)(CI)(IO)
NT AUTHORITY\Authenticated UsersPřipojit data
Povinné povinné úroveň Label\HighNe zápis(OI)(IO)(NP)

Jak zakázat jednotku migrace dat při vytváření bitové kopie

V některých prostředích pravděpodobně není chcete převést seznamy ACL datové jednotky. Scénáře, ve kterých není chcete převést seznamy ACL datové jednotky následující:
  • V případě, že sdílená jednotka dat a použít BUILTIN\Users Seznamy ACL pro získání změnit přístup.
  • Pokud máte mnoho datových souborů a mnoho adresářů na vašem jednotka dat a nedochází k žádným data access problémy.

    Poznámka: V tomto případě změna seznamů ACL je zbytečné a může výrazně zvětšit doba instalace systému Windows Vista.
Poznámka: Systému Windows automatické instalace Kit (WAIK) obsahuje sadu nástroje pro nasazení. Pokyny o použití nástrojů pro nasazení z centra pro stahování Microsoft Download Center je k dispozici. WAIK je zaměřený na zákazníky kteří provádějí automatizované nasazení systému Windows. Další informace o WAIK naleznete následující web:
http://www.microsoft.com/downloads/details.aspx?FamilyID = c7d4bc6d-15f3-4284-9123-679830d629f2 & DisplayLang = cs
Chcete-li zakázat jednotku migrace dat, postupujte kroky.
  1. Vytvořit adresář pro uložení Windows Imaging Format Soubor (WIM). Vytvořte například adresář C:\VistaRTM\WIM.
  2. Vytvořit adresář pro ukládání nekomprimovaných operačního bitová kopie systému. Vytvořte například adresář C:\VistaRTM\OS.
  3. Zkopírujte soubor Install.wim použitelná na dočasné WIM adresář, který jste vytvořili v kroku 1. Zadejte například následující příkaz do příkazového řádku, zkopírujte soubor Install.wim z instalace systému Windows Vista média:
    Copy e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. Zkopírujte ovladače filtru obraz z nasazení WAIK nástroje do adresáře C:\VistaRTM\Driver. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Spustit
      Zmenšit tento obrázekZvětšit tento obrázek
      Tlačítko Start
      , typ cmd v Spustit hledání pole Klepněte pravým tlačítkem myši Program Cmd.exe v Programy seznam, a Klepněte na tlačítko Spustit jako správce.
      Zmenšit tento obrázekZvětšit tento obrázek
      Řízení uživatelských účtů

					 oprávnění
      Pokud budete vyzváni k zadání hesla správce nebo k potvrzení, zadejte heslo nebo klepněte na tlačítko Pokračovat.
    2. Na příkazovém řádku zadejte následující příkazy. Po každém příkazu stiskněte klávesu ENTER.

      CD c:\VistaRTM\Driver\
      wimfltr.sys
  5. Příkazového řádku se zvýšenými připojte použitelné Obrázek WIM. Například zadejte následující příkaz na příkazovém řádku:
    C:\VistaRTM\WIM\install mountrw ImageX.exe.WIM 1 c:\VistaRTM\OS
    Poznámka: "1" je hodnota indexu bitové kopie v souboru Install.wim. Protože soubor Install.wim můžete uvést více obrazů vydání systému Windows, měli byste použítImageX/Info install.wim příkaz Zobrazit všechny edice systému Windows v Soubor Install.WIM. Pokud jste určili správné index Vydání systému Windows, použijte hodnotu spolu s / MountRW příkaz.

    Další informace o nástroji ImageX a o WIM navštivte následující Web společnosti Microsoft:
    http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx
  6. Úprava podregistru system bitové kopie WIM. Chcete-li to provést, postupujte takto.

    Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které informace o úpravě registru. Však mohou nastat závažné problémy při nesprávných úpravách registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany před úpravami je nutné zálohujte registr. Můžete pak obnovení registru v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte článku znalostní báze Microsoft Knowledge Base:
    322756 Postup při zálohování a obnovení registru v systému Windows
    1. Klepněte na tlačítko Spustit
      Zmenšit tento obrázekZvětšit tento obrázek
      Tlačítko Start
      , typ regedit v Spustit hledání pole, a Klepněte na tlačítko regedit v Programyseznam.
      Zmenšit tento obrázekZvětšit tento obrázek
      Uživatel

					 Oprávnění účtu řízení
      Po zobrazení výzvy pro správce heslo pro potvrzení, zadejte heslo nebo klepněte na tlačítko Pokračovat.
    2. V Editoru registru vyhledejte a klepněte na tlačítko HKEY_LOCAL_MACHINEa klepněte na tlačítko Načíst podregistrv Soubor nabídka.
    3. V Načíst podregistr Vyberte položku na SYSTÉM adresář v adresáři systému Windows Vista a klepněte na tlačítko Otevřít. Vyberte například C:\VistaRTM\OS\Windows\System32\config\SYSTEM adresář.
    4. Typ TEMP_HKLM v Název klíče pole vytvořit dočasný vstup pro podregistr a poté Klepněte na tlačítko OK.
    5. Vyhledejte a klepněte na následující podklíč registru.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. V Upravit příkaz Novýa klepněte na tlačítko Hodnota DWORD.
    7. Typ DDACLSys_Disableda pak stiskněte klávesu ENTER.
    8. Klepněte pravým tlačítkem myši DDACLSys_Disableda klepněte na tlačítko Upravit.
    9. V Hodnota dat Typ pole 1a klepněte na tlačítko OK.
  7. Po úpravě obrazu těsnění obrazu. K tomu, na příkazovém řádku zadejte následující příkaz:
    ImageX.exe /UnMount/commit c:\VistaRTM\OS
  8. Nahraďte původní soubor Install.wim pomocí upravený obrázek. Chcete-li to provést, zadejte následující příkaz na příkazovém řádku:
    Kopírovat C:\VistaRTM\OS\install.wim E:\sources\install.wim

Jak definovat chráněné jednotky DACL

Omezení vytváření souborů a adresářů pro standardní uživatele

Určení že uživatelé se standardním oprávněním nelze vytvořit adresářů nebo souborů mimo své uživatelské profily na příkazovém řádku se zvýšenými oprávněními spusťte následující příkaz:
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI;GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI;GA;;BA) (A; OICI; 0X1200A9;;BU)

Standardní uživatelům umožňují vytvářet adresáře nejvyšší úrovně

Určení že standardní uživatelé mohou vytvářet nejvyšší úrovně adresářů a budou vlastníků a všechny jeho podadresáře adresáře na příkazovém řádku spusťte následující příkaz:
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI;GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI;GA;;BA) (A; OICI; 0X1200A9;;BU) (A;LC;;BU) (A; OICIIO;GA;;CO)

Jak definovat chráněném adresáři pro určitého uživatele

Určení který konkrétní uživatel přístup soubor nebo adresář mimo profilu uživatele, postupujte takto:
  1. Chcete-li definovat chráněném adresáři, musíte nejprve získat identifikátor zabezpečení (SID) uživatele, který je právě přihlášen. Získání identifikátoru SID na příkazovém řádku spusťte následující příkaz:
    whoami/all
  2. Pomocí nástroje příkazového řádku programu Cacls.exe zadat chráněných adresář. Chcete-li to provést, zadejte následující příkaz na příkazovém řádku:
    Cacls Adresář S: D:PAI(A;OICI;GA;;SID) (A; OICI;GA;;SY) (A; OICI;GA;;BA)
    Poznámka: Adresář představuje cestu k adresáři adresář, který chcete konfigurovat. SIDpředstavuje identifikátor SID uživatele.
Následující ukázkové příkazy použít adresář PersonalSecureFolder. Tento adresář je umístěn v adresáři D:\.
  • K určení zabezpečení přístupu v adresáři D:\PersonalSecureFolder, zadejte na příkazovém řádku následující příkaz:
    iCacls.exe PersonalSecureFolder
    Příkaz vygeneruje následující výstup:
    BUILTIN\Administrators:(I)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
    
  • Spustit příkaz cacls.exe v adresáři D:\PersonalSecureFolder, na příkazovém řádku zadejte následující příkaz:
    cacls D:PAI(A;OICI; D:\PersonalSecureFolder/s:GA;; S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI;GA;;SY) (A; OICI;GA;;BA)
  • Chcete-li určit nový seznam DACL NTFS pro adresář D:\PersonalSecureFolder, zadejte následující příkaz na příkazovém řádku:
    iCacls.exe D:\PersonalSecureFolder
    Příkaz vygeneruje následující výstup:
    HomePC\Denise:(F)
    HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    

Vlastnosti

ID článku: 949608 - Poslední aktualizace: 22. května 2011 - Revize: 3.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
Klíčová slova: 
kbexpertiseinter kbinfo kbmt KB949608 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:949608

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com