Ändert die Standard NTFS-Access Control List (DACL ? Discretionary)-Einstellungen in Windows Vista

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 949608 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

In Windows Vista Dateisystem NTFS frei verfügbare Zugriff Steuerelement Listen (Zugriffssteuerungslisten DACLs) wurden geändert, um die gemeinsame Nutzung von Daten und die Zusammenarbeit in Daten aktivieren Verzeichnisse, die außerhalb der geschützten Verzeichnisse sind. Geschütztes Verzeichnis des Benutzers ist das Profil des Benutzers. Für Beispiel wird davon ausgegangen, dass das C:\Users\Denise\Pictures-Verzeichnis auf einem geschützten Verzeichnis ist. A Datenverzeichnis ist ein Verzeichnis, die außerhalb dieser geschützten Verzeichnisstruktur erstellt wird. D:\Pictures ist ein Verzeichnis, das außerhalb der geschützten Struktur ist.

Davon ausgehen, dass Karin Zimprich, der ihre Windows Vista-basierten Computer anmeldet und, die sie erstellt ein Neues Verzeichnis auf Ihre externe Festplatte (Laufwerk D). Denise Namen Das Dialogfeld Verzeichnis FamilyPictures. Später Denise Sohn, Brian, am Computer anmeldet. Brian wird erstellt ein neues Verzeichnis, SummerVacationPics ist benannt werden. in der FamilyPictures Verzeichnis. Anschließend speichert Brian mehrere Bilder in das Verzeichnis SummerVacationPics. Wenn die Windows XP DACL-Einstellungen sind angewendet auf das Verzeichnis SummerVacationPics, Denise kann nicht bearbeiten Sie die Bilder der SummerVacationPics-Verzeichnis. Dies Verhalten tritt auf, da die DACLs Brian als Kennzeichnen der nur Benutzer, die über Schreibberechtigungen verfügt. Allerdings DACL Standard Verhalten aufweist wurde geändert in Windows Vista. Aus diesem Grund kann in Windows Vista Denise ausführen Aufgaben auf die Bilder in das Verzeichnis SummerVacationPics zum Bearbeiten von Fotos.

Diese DACL Änderungen können Benutzer gemeinsam nutzen und Bearbeiten von Dateien ohne Angabe die Anmeldeinformationen in der User Account Control im Dialogfeld. Darüber hinaus können die Benutzer manuell ein Verzeichnis private vornehmen. Dieses feature garantiert, dass die Benutzer können Einfache Wartung die Vertraulichkeit der Daten und Daten Integrität auf Datenlaufwerken. Private Verzeichnisse sind durch einen Administrator lesbar, wenn der Administrator mit erhöhten Rechten Modus Berechtigungen erteilt wurden. Das Feature "erweiterten Modus" sollte verwendet werden, zu halten Daten privat aus standard-Benutzer. Die Windows Vista DACL-Einstellungen werden angewendet. während der Installation und sie werden migriert-Laufwerks auf einem erkannt, die eine der folgenden Kriterien erfüllt:
  • Das Laufwerk enthält ein Windows-Betriebssystem nicht.
  • Das Laufwerk formatiert ist, verwenden Sie die Standard-DACL von Windows XP Einstellungen.

Weitere Informationen

Tool-updates

Die Befehlszeilenprogramme "Convert.exe" und Format.exe wurden geändert. in Windows Vista, um neue Optionen für die neue umfassen DACL-Einstellungen. Allerdings Diese Programme vorhandene Windows XP DACL-Einstellungen, kann nicht konvertiert werden. die Windows Vista DACL-Einstellungen. So ändern Sie eine vorhandene Windows XP DACL-Einstellung um eine Windows Vista DACL-Einstellung müssen Sie das Befehlszeilenprogramm "Cacls.exe" in verwenden. Windows Vista. Konvertiert z. B. der folgende Befehl vorhandene Windows XP DACL-Einstellungen für die Datenlaufwerk D:\ zu Windows Vista DACL-Einstellungen:

Cacls D:\ /s:D: (A; OICI; GA;;BA) (A; OICI; GA;;SY) (A; OICI;SDGXGWGR;;AU) (A; OICI;GXGR;;BU)

DACL-Einstellungen in Windows Vista

In der folgende Tabelle der Abkürzungen verwenden, um zu bestimmen die Ergebnisse von access Steuerelement Eintrag Vererbung (ACE).

Access Control Entry Vererbung Abkürzungen
Tabelle minimierenTabelle vergrößern
AbkürzungBeschreibung
CIContainer erben. Die Zugriffssteuerungseintrag wird von geerbt werden Verzeichnisse.
OIObjekt erben. Die Zugriffssteuerungseintrag wird von geerbt werden Dateien.
E/ANur erben. Der Eintrag gilt nicht für die aktuelle Datei- und Verzeichnisnamen.
NPVererbung werden nicht weitergegeben.
Windows XP % Systemroot %-Verzeichnis und Daten Laufwerk DACL-Einstellungen

Im folgenden werden die standardmäßige DACL-Einstellungen für die % SystemRoot% Verzeichnis und für die Daten Netzlaufwerk in Windows XP.
Tabelle minimierenTabelle vergrößern
Benutzer oder GruppeZugriffssteuerungseintragDie Vererbung von Access Control entry
"VORDEFINIERT\Administratoren"Vollständige Steuerelement(OI)(CI)
NT-AUTORITÄT\SYSTEMVollständige Steuerelement(OI)(CI)
ERSTELLER-BESITZERVollzugriff(OI)(CI)(IO)
"VORDEFINIERT\Benutzer"Lesen(OI)(CI)
"VORDEFINIERT\Benutzer"Beschränkter Zugriff: FILE_APPEND_DATA(CI)
"VORDEFINIERT\Benutzer" Beschränkter Zugriff: FILE_WRITE_DATA(CI)(IO)
"Jeder"Lesen
Windows Vista Daten Laufwerk DACL-Einstellungen

Im folgenden sind die neuen Windows Vista DACL-Einstellungen für Datenlaufwerke, die erstellt werden das Programm Format.exe.
Tabelle minimierenTabelle vergrößern
Benutzer oder GruppeZugriffssteuerungseintragDie Vererbung von Access Control entry
"VORDEFINIERT\Administratoren"Vollzugriff
"VORDEFINIERT\Administratoren"Vollständige Steuerelement(OI)(CI)(IO)
NT-AUTORITÄT\SYSTEMVollzugriff
NT-AUTORITÄT\SYSTEMVollständige Steuerelement(OI)(CI)(IO)
NT-AUTORITÄT\Authentifizierte BenutzerÄndern
NT-AUTORITÄT\Authentifizierte BenutzerÄndern(OI)(CI)(IO)
"VORDEFINIERT\Benutzer"Lesen und ausführen
"VORDEFINIERT\Benutzer"Generic Read, generische Ausführen(OI)(CI)(IO)
DACL-Einstellungen für Windows Vista % Systemroot %-Verzeichnis
Tabelle minimierenTabelle vergrößern
Benutzer oder GruppeZugriffssteuerungseintragDie Vererbung von Access Control entry
"VORDEFINIERT\Administratoren"Vollzugriff
"VORDEFINIERT\Administratoren"Vollständige Steuerelement(OI)(CI)(IO)
NT-AUTORITÄT\SYSTEMVollzugriff
NT-AUTORITÄT\SYSTEMVollständige Steuerelement(OI)(CI)(IO)
"VORDEFINIERT\Benutzer"Lesen und ausführen(OI)(CI)
NT-AUTORITÄT\Authentifizierte BenutzerÄndern(OI)(CI)(IO)
NT-AUTORITÄT\Authentifizierte BenutzerAnfügen Daten
Obligatorische Label\High obligatorische StufeNein Schreiben(OI)(IO)(NP)

Datenmigration Laufwerk zu deaktivieren, wenn Sie das Image erstellen

In einigen Umgebungen Sie können nicht die ACLs Datenlaufwerke konvertieren möchten. Szenarien, in denen Sie nicht möglicherweise die ACLs des Laufwerks Daten konvertieren möchten die folgenden:
  • Wenn das Datenlaufwerk gemeinsam genutzt wird und wenn Sie die BUILTIN\Users verwenden ACLs erhalten ändern Zugriff.
  • Wenn Sie viele Dateien und viele Verzeichnisse auf Ihrer Datenlaufwerk, und Sie werden keine Daten Access Probleme.

    Hinweis In diesem Szenario Ändern der ACLs ist unnötig und Zeitpunkt der Installation von Windows Vista kann erheblich erhöhen.
Hinweis Das Windows Automated Installation Kit (WAIK) enthält eine Reihe von Bereitstellungstools. Anleitung über Gewusst wie: Verwenden Sie die Bereitstellungstools ist aus dem Microsoft Download Center verfügbar. WAIK richtet sich an Unternehmenskunden die automatisierte Bereitstellung von Windows ausführen. Weitere Informationen über WAIK finden Sie auf der folgende Website:
http://www.Microsoft.com/downloads/details.aspx?familyid=c7d4bc6d-15f3-4284-9123-679830d629f2&displaylang=en
Um Daten Laufwerk Migration zu deaktivieren, führen Sie die folgenden Schritte.
  1. Erstellen Sie ein Verzeichnis aus, um das Windows Imaging-Format zu speichern. (WIM) Datei. Erstellen Sie z. B. ein Verzeichnis C:\VistaRTM\WIM.
  2. Erstellen Sie ein Verzeichnis zum Speichern der unkomprimierten Betrieb System-Image. Erstellen Sie z. B. ein C:\VistaRTM\OS-Verzeichnis.
  3. Kopieren Sie die geltende Install.wim-Datei in der temporären WIM-Datei Verzeichnis, das Sie in Schritt 1 erstellt haben. Geben Sie beispielsweise folgenden Befehl an einer Eingabeaufforderung die Datei Install.wim aus der Windows Vista-Installation kopieren Medien:
    Esourcesinstall.wim-c:\VistaRTM\WIM\install.wim kopieren
  4. Kopieren Sie den Image-Filter-Treiber von WAIK-Bereitstellung Tools zum Verzeichnis C:\VistaRTM\Driver. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start
      Bild minimierenBild vergrößern
      Schaltfläche "Start"
      , Typ cmd Klicken Sie im Dialogfeld Suche starten im Feld mit der rechten Maustaste cmd.exe in Programme Liste, und Klicken Sie dann auf Als Administrator ausführen.
      Bild minimierenBild vergrößern
      User Account Control

					 Berechtigung
      Wenn Sie, ein Administratorkennwort oder für aufgefordert werden Bestätigung, geben Sie das Kennwort ein, oder klicken Sie auf Weiter.
    2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein. Drücken Sie nach jedem Befehl die EINGABETASTE.

      CD c:\VistaRTM\Driver\
      wimfltr.sys
  5. Mounten Sie an der Eingabeaufforderung mit erhöhten Rechten den jeweiligen WIM-Abbild. Geben Sie beispielsweise den folgenden Befehl an der Eingabeaufforderung ein:
    ImageX.exe/mountrw-c:\VistaRTM\WIM\install.WIM 1 c:\VistaRTM\OS
    Hinweis "1" ist der Wert, der den Index des Bildes in der Install.wim-Datei. Da die Datei Install.wim kann mehrere Bilder der Windows-Edition auflisten, sollten Sie verwenden die ImageX/info install.wim -Befehl zum Anzeigen von allen Windows-Editionen in der Install.WIM-Datei. Wenn Sie den korrekten Index für identifiziert haben die Windows-Edition, verwenden Sie diesen Wert zusammen mit dem Befehl/mountrw .

    Weitere Informationen zum Tool "ImageX" und über WIM-Datei die folgende Microsoft-Website:
    http://technet.Microsoft.com/en-US/windowsvista/aa905070.aspx
  6. Bearbeiten Sie die Systemstruktur der Registrierung für das WIM-Abbild. Gehen Sie folgendermaßen vor, um dies zu tun.

    Wichtig Dieser Abschnitt, eine Methode oder eine Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Jedoch können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Sichern Sie die Registrierung, bevor Sie es ändern, für zusätzlichen Schutz. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Für Weitere Informationen zum Sichern und Wiederherstellen der Registrierung, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
    322756 Wie Sichern und Wiederherstellen der Registrierung in Windows
    1. Klicken Sie auf Start
      Bild minimierenBild vergrößern
      Schaltfläche "Start"
      , Typ Regedit Klicken Sie im Dialogfeld Suche starten Feld, und Klicken Sie dann auf Regedit Klicken Sie im Dialogfeld ProgrammeListe.
      Bild minimierenBild vergrößern
      Benutzer

					 Account-Control-Berechtigung
      Wenn Sie, für den Administrator aufgefordert werden Kennwort zur Bestätigung, geben Sie das Kennwort ein, oder klicken Sie auf Weiter.
    2. Im Registrierungs-Editor zu suchen Sie, und klicken Sie dann auf HKEY_LOCAL_MACHINE, und klicken Sie dann auf Load Hiveauf der Datei Menü.
    3. In der Load Hive Wählen Sie im Dialogfeld Das Dialogfeld SYSTEM Verzeichnis, in dem Windows Vista-Verzeichnis, und klicken Sie dann auf Öffnen. Wählen Sie beispielsweise die C:\VistaRTM\OS\Windows\System32\config\SYSTEM Verzeichnis.
    4. Typ TEMP_HKLM Klicken Sie im Dialogfeld Schlüsselname Um einen temporären Struktur-Eintrag zu erstellen und dann Klicken Sie auf OK.
    5. Suchen Sie, und klicken Sie dann auf den folgenden Unterschlüssel der Registrierung.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. Auf der Bearbeiten Menü, zeigen Sie auf Neue, und klicken Sie dann auf DWORD-Wert.
    7. Typ DDACLSys_Disabled, und klicken Sie dann Drücken Sie die EINGABETASTE.
    8. Mit der rechten Maustaste DDACLSys_Disabled, und klicken Sie dann auf Ändern.
    9. In der Wertdaten Geben Sie im Feld 1, und klicken Sie dann auf OK.
  7. Nachdem Sie das Bild geändert haben, versiegeln Sie das Bild. Zu diesem Zweck Geben Sie den folgenden Befehl an einer Eingabeaufforderung ein:
    ImageX.exe/unmount/Commit c:\VistaRTM\OS
  8. Ersetzen Sie die ursprüngliche Datei Install.wim durch das geänderte Abbild. Geben Sie hierzu den folgenden Befehl an einer Eingabeaufforderung ein:
    C:\VistaRTM\OS\install.wim-esourcesinstall.wim kopieren

Gewusst wie: Definieren Sie eine geschützte DACL-Laufwerk

Beschränken Sie die Erstellung von Datei- und Verzeichnisnamen für Standardbenutzer

Angeben dass Standardbenutzer Verzeichnisse oder Dateien außerhalb ihrer Benutzerprofile erstellen können, Führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten:
Cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI; GA;;BA) (A; OICI; 0X1200A9;;BU)

Aktivieren der Standardbenutzer Verzeichnissen der obersten Ebene erstellen

Angeben Standardbenutzer Verzeichnissen der obersten Ebene erstellen können und werden, da die Besitzer und alle seine Unterverzeichnisse eines Verzeichnisses, Führen Sie den folgenden Befehl an einer Eingabeaufforderung ein:
Cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI; GA;;BA) (A; OICI; 0X1200A9;;BU) (A;LC;;BU) (A; OICIIO; GA;;CO)

Gewusst wie: Definieren Sie ein geschütztes Verzeichnis für einen bestimmten Benutzer

Angeben die nur ein bestimmten Benutzer zugreifen kann ein Datei oder ein Verzeichnis außerhalb das Benutzerprofil, gehen Sie folgendermaßen vor:
  1. Um ein geschütztes Verzeichnis zu definieren, benötigen Sie zunächst die Sicherheits-ID (SID) des Benutzers, der derzeit angemeldet ist. Um die SID ermittelt haben, Führen Sie den folgenden Befehl an einer Eingabeaufforderung ein:
    Whoami/all
  2. Verwenden Sie das Befehlszeilenprogramm "cacls.exe", um eine geschützte anzugeben Verzeichnis. Geben Sie hierzu den folgenden Befehl an einer Eingabeaufforderung ein:
    Cacls Verzeichnis S: D:PAI(A;OICI;GA;;;SID) (A; OICI; GA;;SY) (A; OICI; GA;;BA)
    HinweisVerzeichnis den Verzeichnispfad des darstellt das Verzeichnis, das Sie konfigurieren möchten. SIDStellt die SID des Benutzers dar.
Die folgenden Beispielbefehle verwenden Sie das Verzeichnis PersonalSecureFolder. Dieses Verzeichnis befindet sich im Verzeichnis D:\.
  • Den Sicherheitszugriff der bestimmen das Verzeichnis D:\PersonalSecureFolder Geben Sie den folgenden Befehl an einer Eingabeaufforderung ein:
    icacls.exe PersonalSecureFolder
    Der Befehl wird die folgende Ausgabe generiert:
    BUILTIN\Administrators:(I)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
    
  • Zum Ausführen des Befehls "cacls.exe" im Verzeichnis D:\PersonalSecureFolder Geben Sie den folgenden Befehl an einer Eingabeaufforderung ein:
    Cacls D:\PersonalSecureFolder/s: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI; GA;;SY) (A; OICI; GA;;BA)
  • Um die neue NTFS-DACL für das Verzeichnis D:\PersonalSecureFolder zu ermitteln, geben Sie den folgenden Befehl an einer Eingabeaufforderung ein:
    icacls.exe D:\PersonalSecureFolder
    Der Befehl wird die folgende Ausgabe generiert:
    HomePC\Denise:(F)
    HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    

Eigenschaften

Artikel-ID: 949608 - Geändert am: Montag, 10. September 2012 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
Keywords: 
kbexpertiseinter kbinfo kbmt KB949608 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 949608
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com