Cambios en el valor predeterminado la configuración de la lista de Control de acceso discrecional (DACL) de NTFS en Windows Vista

Seleccione idioma Seleccione idioma
Id. de artículo: 949608 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

En Windows Vista, discrecional de sistema de archivos de NTFS Acceso Control Listas Han cambiado (DACL) para permitir la colaboración en los datos y el uso compartido de datos directorios que son directorios protegidos exteriores. Es el directorio protegido de un usuario el perfil del usuario. Para ejemplo, suponga que el directorio de C:\Users\Denise\Pictures es un directorio protegido. A directorio de datos es un directorio que se crea fuera de esta estructura de un directorio protegido. D:\Pictures es un directorio que esté fuera de la estructura protegida.

Se supone que Vanesa García inicia sesión en su equipo basado en Windows Vista y que crea un nuevo directorio en su disco duro externo (unidad D). Denise nombres de el directorio FamilyPictures. Más adelante, Hijo de Denise, Brian, inicia sesión en el equipo. Brian crea un nuevo directorio que se denomina SummerVacationPics en el FamilyPictures directorio. A continuación, Brian guarda varias imágenes en el directorio SummerVacationPics. Si el Configuración de DACL de Windows XP se aplica al directorio SummerVacationPics, Denise no puede modificar cualquiera de los imágenes en el Directorio de SummerVacationPics. Esto comportamiento se produce porque las DACL marcan Brian como el único usuario que tiene permisos de escritura. Sin embargo, DACL predeterminada comportamiento tiene se ha cambiado en Windows Vista. Por lo tanto, en Windows Vista, puede realizar Denise tareas en las imágenes en el directorio SummerVacationPics de edición de fotografías.

Estos DACL los cambios permiten a los usuarios compartir y editar archivos sin especificar las credenciales en el Control de cuentas de usuario cuadro de diálogo. Además, los usuarios pueden realizar manualmente un directorio privado. Esta característica garantiza que los usuarios pueden mantener fácilmente los datos y confidencialidad de los datos integridad en unidades de datos. Directorios privados son legibles por un administrador si el administrador se ha concedido permisos de modo elevado. Se debe utilizar la característica de "modo elevado" para mantener datos privados de los usuarios estándar. Se aplica la configuración de DACL de Windows Vista durante la instalación, y se migran a cualquier detecta la unidad que cumple uno de los siguientes criterios:
  • La unidad no contiene un sistema operativo Windows.
  • La unidad se formatea con el valor predeterminado de Windows XP DACL configuración de.

Más información

Actualizaciones de herramientas

Han cambiado las herramientas de línea de comandos Convert.exe y Format.exe en Windows Vista para incluir nuevas opciones para el nuevo Configuración de DACL. Sin embargo, estos herramientas no se puede convertir la configuración existente de Windows XP DACL para la configuración de DACL de Windows Vista. Para cambiar una configuración de DACL de Windows XP ya existente a una configuración de DACL de Windows Vista, debe utilizar la herramienta de línea de comandos de Cacls.exe en Windows Vista. Por ejemplo, el siguiente comando convierte Windows existente Configuración de DACL de XP en el Unidad de datos: D:\ a La configuración de DACL de Windows Vista:

Cacls D:\/s: d: (A; OICI; GA;;BA) (A; OICI; GA;;SY) (A; OICI;SDGXGWGR;;AU) (A; OICI;GXGR;;BU)

Configuración de DACL en Windows Vista

Utilice la siguiente tabla de abreviaturas para determinar la resultados de acceso control entrada Herencia de (ACE).

Abreviaturas de herencia de entrada de control de acceso
Contraer esta tablaAmpliar esta tabla
AbreviaturaDescripción
CIHerencia de contenedor. Herencia de la entrada de control de acceso directorios.
OIHereda el objeto. Herencia de la entrada de control de acceso archivos.
IOSólo heredar. No se aplica la entrada de control de acceso a la archivo actual y el directorio.
NPNo se propagará la herencia.
Directorio de Windows XP % systemroot % y los datos de configuración de DACL de unidad

Los siguientes son las predeterminadas de configuración de DACL para el la unidad % systemroot % y directorio para los datos en Windows XP.
Contraer esta tablaAmpliar esta tabla
Usuario o grupoEntrada de control de accesoHerencia de entrada de control de acceso
BUILTIN\AdministratorsTotal control(IO)(CI)
NT AUTHORITY\SYSTEMTotal control(IO)(CI)
CREADOR PROPIETARIOControl total(IO)(CI)(IO)
BUILTIN\UsersLectura(IO)(CI)
BUILTIN\UsersAcceso especial: FILE_APPEND_DATA(CI)
BUILTIN\Users Acceso especial: FILE_WRITE_DATA(CI)(IO)
Todo el mundoLectura
Configuración de DACL de la unidad de datos de Windows Vista

Los siguientes son las unidades de datos que se crean con la nueva configuración de DACL de Windows Vista el programa Format.exe.
Contraer esta tablaAmpliar esta tabla
Usuario o grupoEntrada de control de accesoHerencia de entrada de control de acceso
BUILTIN\AdministratorsControl total
BUILTIN\AdministratorsTotal control(IO)(CI)(IO)
NT AUTHORITY\SYSTEMControl total
NT AUTHORITY\SYSTEMTotal control(IO)(CI)(IO)
NT Authority\usuarios autenticadosModificar
NT AUTHORITY\Authenticated UsuariosModificar(IO)(CI)(IO)
BUILTIN\UsersLectura y ejecución
BUILTIN\UsersLectura genérica genérico ejecutar(IO)(CI)(IO)
Configuración de DACL directorio de Windows Vista % systemroot %
Contraer esta tablaAmpliar esta tabla
Usuario o grupoEntrada de control de accesoHerencia de entrada de control de acceso
BUILTIN\AdministratorsControl total
BUILTIN\AdministratorsTotal control(IO)(CI)(IO)
NT AUTHORITY\SYSTEMControl total
NT AUTHORITY\SYSTEMTotal control(IO)(CI)(IO)
BUILTIN\UsersLectura y ejecución(IO)(CI)
NT AUTHORITY\Authenticated UsuariosModificar(IO)(CI)(IO)
NT Authority\usuarios autenticadosAnexar Datos
Nivel obligatorio obligatorio de Label\HighNo Escritura(IO)(IO)(NP)

Cómo deshabilitar la migración de la unidad de datos cuando se genera la imagen

En algunos entornos, no deseará convertir las ACL de las unidades de datos. Escenarios en el que puede que no desee convertir las ACL de la unidad de datos los siguientes:
  • Si la unidad de datos está compartida y, si utiliza el BUILTIN\Users Las ACL para tener acceso de modificación.
  • Si tienes muchos archivos de datos y muchos directorios en su unidad de datos y no se presentan problemas de acceso de datos.

    Nota En este escenario, el cambio de las ACL es innecesario y puede aumentar considerablemente el tiempo de instalación de Windows Vista.
Nota El Kit de instalación automatizada de Windows (WAIK) contiene un conjunto de herramientas de implementación. Orientación acerca de cómo utilizar las herramientas de implementación está disponible en el centro de descarga de Microsoft. WAIK está dirigido a los clientes corporativos implementación automatizada de Windows que va a realizar. Para obtener más información acerca de WAIK, visite el siguiente sitio Web:
http://www.Microsoft.com/downloads/details.aspx?familyid=c7d4bc6d-15f3-4284-9123-679830d629f2&displaylang=en
Para deshabilitar la migración de la unidad de datos, siga estos pasos.
  1. Crear un directorio para almacenar el formato de imágenes de Windows Archivo (WIM). Por ejemplo, cree un directorio de C:\VistaRTM\WIM.
  2. Crear un directorio para almacenar el funcionamiento sin comprimir imagen del sistema. Por ejemplo, cree un directorio de C:\VistaRTM\OS.
  3. Copiar el archivo Install.wim aplicable en el WIM temporal directorio que creó en el paso 1. Por ejemplo, escriba el comando siguiente en el símbolo del sistema para copiar el archivo Install.wim de la instalación de Windows Vista Media:
    Copy e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. Copie el controlador de filtro de imagen de la implementación de WAIK herramientas para el directorio C:\VistaRTM\Driver. Para ello, siga estos pasos:
    1. Haga clic en Inicio
      Contraer esta imagenAmpliar esta imagen
      Botón Inicio
      , tipo cmd en el Iniciar búsqueda cuadro, Haga clic con el botón secundario del mouse (ratón) en cmd.exe en Programas lista, y a continuación, haga clic en Ejecutar como administrador.
      Contraer esta imagenAmpliar esta imagen
      Control de cuentas de usuario

					 permiso
      Si se le pide la contraseña del administrador o que confirmación, escriba la contraseña o haga clic en Continuar.
    2. En el símbolo del sistema, escriba los comandos siguientes. Presione ENTRAR después de cada comando.

      CD c:\VistaRTM\Driver\
      wimfltr.sys
  5. En el símbolo del sistema con privilegios elevados, Monte la aplicable imagen de WIM. Por ejemplo, escriba el comando siguiente en el símbolo del sistema:
    C:\VistaRTM\WIM\install de /MountRW ImageX.exe.1 De WIM c:\VistaRTM\OS
    Nota "1" es el valor del índice de imagen en el archivo Install.wim. Debido a que el archivo Install.wim puede mostrar varias imágenes de la edición de Windows, debe utilizar el comando de ImageX /info install.wim para mostrar todas las ediciones de Windows en el Archivo Install.wim. Cuando haya identificado el índice correcto para el Edición de Windows, utilice este valor junto con el comando/mountrw .

    Para obtener más información acerca de la herramienta de ImageX y acerca de WIM, visite el siguiente sitio Web de Microsoft:
    http://technet.Microsoft.com/en-US/windowsvista/aa905070.aspx
  6. Edite el subárbol del registro de sistema para la imagen WIM. Para ello, siga estos pasos.

    Importante Esta sección, el método o la tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, hacer la copia del registro antes de modificarlo. Luego puede restaurar el registro si surge algún problema. Para obtener más información acerca de cómo realizar copias de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    322756 Cómo hacer copia de seguridad y restaurar el registro en Windows
    1. Haga clic en Inicio
      Contraer esta imagenAmpliar esta imagen
      Botón Inicio
      , tipo Regedit en el Iniciar búsqueda cuadro, y a continuación, haga clic en Regedit en el Programaslista.
      Contraer esta imagenAmpliar esta imagen
      Usuario

					 Permiso de Control de cuenta
      Si se le pide un administrador contraseña de confirmación, escriba la contraseña o haga clic en Continuar.
    2. En el Editor del registro, busque y haga clic en HKEY_LOCAL_MACHINEy, a continuación, haga clic en Cargar subárbolEn la página Archivo menú.
    3. En el Cargar subárbol cuadro de diálogo, seleccione el SISTEMA directorio en el directorio de Windows Vista y haga clic en Abrir. Por ejemplo, seleccione el C:\VistaRTM\OS\Windows\System32\config\SYSTEM directorio.
    4. Tipo TEMP_HKLM en el Nombre de clave Para crear una entrada de SUBÁRBOL temporal y, a continuación Haga clic en ACEPTAR.
    5. Busque y, a continuación, haga clic en la siguiente subclave del registro.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. En el Editar menú, elija Nuevoy, a continuación, haga clic en Valor DWORD.
    7. Tipo DDACLSys_Disabledy, a continuación presione ENTRAR.
    8. Con el botón derecho DDACLSys_Disabledy, a continuación, haga clic en Modificar.
    9. En el Información del valor cuadro, escriba 1y, a continuación, haga clic en ACEPTAR.
  7. Después de modificar la imagen, selle la imagen. Para ello, Escriba el comando siguiente en un símbolo del sistema:
    ImageX.exe /UnMount /commit c:\VistaRTM\OS
  8. Reemplace el archivo Install.wim original con la imagen modificada. Para ello, escriba el comando siguiente en un símbolo del sistema:
    Copie C:\VistaRTM\OS\install.wim E:\sources\install.wim

Cómo definir una unidad de disco protegida DACL

Restringir la creación de archivos y directorios para los usuarios estándar

Para especificar que los usuarios estándar no pueden crear directorios o archivos externos a sus perfiles de usuario Ejecute el comando siguiente en un símbolo del sistema con privilegios elevados:
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI; GA;;BA) (A; OICI; 0X1200A9;;BU)

Permitir que los usuarios estándar crear directorios de nivel superior

Para especificar que los usuarios estándar pueden crear directorios de nivel superior y que estén los propietarios de un directorio y todos sus subdirectorios, Ejecute el comando siguiente en un símbolo del sistema:
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI; GA;;BA) (A; OICI; 0X1200A9;;BU) (A;LC;;BU) (A; OICIIO; GA;;CO)

Cómo definir un directorio protegido para un usuario específico

Para especificar que sólo un usuario específico puede tener acceso a un archivo o un directorio fuera el perfil de usuario, siga estos pasos:
  1. Para definir un directorio protegido, primero debe obtener el identificador de seguridad (SID) del usuario que ha iniciado sesión actualmente. Para obtener al SID, Ejecute el comando siguiente en un símbolo del sistema:
    whoami /all
  2. Utilice la herramienta de línea de comandos de Cacls.exe para especificar un documento protegido directorio. Para ello, escriba el comando siguiente en un símbolo del sistema:
    Cacls Directorio S: D:PAI(A;OICI;GA;;;SID) (A; OICI; GA;;SY) (A; OICI; GA;;BA)
    NotaDirectorio representa la ruta de directorio de directorio que desea configurar. SIDrepresenta al SID del usuario.
Los siguientes comandos de ejemplo utilizan el directorio PersonalSecureFolder. Este directorio se encuentra en el directorio D:\.
  • Para determinar el acceso de seguridad de el directorio D:\PersonalSecureFolder, escriba el comando siguiente en un símbolo del sistema:
    Icacls.exe PersonalSecureFolder
    El comando genera el siguiente resultado:
    BUILTIN\Administrators:(I)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
    
  • Para ejecutar el comando cacls.exe en el directorio D:\PersonalSecureFolder, Escriba el comando siguiente en un símbolo del sistema:
    cacls D:\PersonalSecureFolder/s: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI; GA;;SY) (A; OICI; GA;;BA)
  • Para determinar la DACL de NTFS de nuevo para el directorio de D:\PersonalSecureFolder, escriba el comando siguiente en un símbolo del sistema:
    Icacls.exe D:\PersonalSecureFolder
    El comando genera el siguiente resultado:
    HomePC\Denise:(F)
    HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    

Propiedades

Id. de artículo: 949608 - Última revisión: martes, 11 de septiembre de 2012 - Versión: 3.0
La información de este artículo se refiere a:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
Palabras clave: 
kbexpertiseinter kbinfo kbmt KB949608 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 949608

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com