Modifie la valeur par défaut les paramètres NTFS contrôle liste DACL (Discretionary Access) dans Windows Vista

Traductions disponibles Traductions disponibles
Numéro d'article: 949608 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Dans Windows Vista, les discrétionnaire de système de fichiers NTFS Accès Contrôle Listes (DACL) ont été modifiés pour activer le partage de données et de collaboration de données répertoires qui sont des répertoires protégés à l'extérieur. Répertoire protégé d'un utilisateur est le profil utilisateur. Pour exemple, supposons que le répertoire C:\Users\Denise\Pictures est un répertoire protégé. A répertoire de données est un répertoire qui est créé en dehors de cette structure de répertoire protégé. D:\Pictures est un répertoire qui est en dehors de la structure protégée.

Supposent que Jesus Hernandez ouvre une session sur son ordinateur Windows Vista et qu'il crée un nouveau répertoire sur son disque dur externe (lecteur D). Denise noms le répertoire FamilyPictures. Plus tard, Fils de Denise, Brian, Ouvre une session sur l'ordinateur. Brian crée un nouveau répertoire qui est nommé SummerVacationPics dans le FamilyPictures répertoire. Ensuite, Brian enregistre plusieurs images dans le répertoire SummerVacationPics. Si le Paramètres de la liste DACL Windows XP sont Denise appliqué au répertoire SummerVacationPics, ne peut pas modifier toutes les des images dans le Répertoire SummerVacationPics. Ceci problème se produit car les listes DACL marquer Brian comme le seul l'utilisateur qui dispose des autorisations d'écriture. Toutefois, DACL par défaut comportement a été modifiée dans Windows Vista. Par conséquent, dans Windows Vista, Denise peut effectuer modification des tâches sur les images dans le répertoire SummerVacationPics de photos.

Ces DACL les modifications permettent aux utilisateurs de partager et modifier des fichiers sans spécifier les informations d'identification dans le Contrôle de compte d'utilisateur boîte de dialogue. En outre, les utilisateurs peuvent apporter manuellement un répertoire privé. Cette fonctionnalité garantit que les utilisateurs peuvent gérer facilement les données et la confidentialité des données les lecteurs de l'intégrité des données. Répertoires privés sont lisibles par un administrateur si l'administrateur possède les autorisations mode élevé. La fonctionnalité « mode élevés » doit être utilisée pour conserver données privées des utilisateurs standard. Les paramètres de la liste DACL Windows Vista sont appliqués pendant l'installation, et ils sont migrés à l'a détecté un lecteur qui répond à l'un des critères suivants :
  • Le lecteur ne contient-elle pas un système d'exploitation de Windows.
  • Le lecteur est formaté à l'aide de la liste DACL Windows XP par défaut paramètres.

Plus d'informations

Mises à jour de l'outil

Les outils de ligne de commande Convert.exe et programme Format.exe ont été modifiés. dans Windows Vista pour inclure les nouvelles options pour le nouveau Paramètres DACL. Toutefois, Ces outils Impossible de convertir les paramètres de Windows XP DACL existants à les paramètres de la liste DACL Windows Vista. Pour modifier un paramètre existant de la liste DACL Windows XP pour un paramètre de la liste DACL Windows Vista, vous devez utiliser l'outil de ligne de commande Cacls.exe dans Windows Vista. Par exemple, la commande suivante convertit Fenêtres existantes Paramètres DACL XP dans le Lecteur de données D:\ pour Les paramètres de liste DACL Windows Vista :

Cacls D:\/s: d: (A; OICI; GA; ;BA) (A; OICI; GA; ;SY) (A; OICI ;SDGXGWGR ; ;AU) (A; OICI ;GXGR ; ;BU)

Paramètres DACL dans Windows Vista

Utilisez le tableau suivant des abréviations pour déterminer la résultats de l'accès contrôle entrée Héritage (ACE).

Abréviations de l'héritage de l'accès contrôle entrée
Réduire ce tableauAgrandir ce tableau
AbréviationDescription
CIConteneur héritent. L'entrée de contrôle d'accès sera héritée par répertoires.
OIObjet hérite. L'entrée de contrôle d'accès sera héritée par fichiers.
E/SHériter uniquement. L'entrée de contrôle d'accès ne s'applique pas à la fichier en cours et répertoire.
NPL'héritage ne sera pas propagée.
Paramètres de la liste DACL du lecteur Windows XP répertoire %systemroot% et les données

Voici la valeur par défaut Paramètres DACL pour le le lecteur %systemroot% directory et pour les données dans Windows XP.
Réduire ce tableauAgrandir ce tableau
Utilisateur ou groupeEntrée de contrôle d'accèsHéritage de saisie contrôle l'accès
BUILTIN\AdministrateursComplet contrôle(GHA)(CI)
NT AUTHORITY\SYSTEMComplet contrôle(GHA)(CI)
CRÉATEUR PROPRIÉTAIREContrôle total(GHA)(CI)(IO)
BUILTIN\UtilisateursEn lecture(GHA)(CI)
BUILTIN\UtilisateursAccès spécial : FILE_APPEND_DATA(CI)
BUILTIN\Utilisateurs Accès spécial : FILE_WRITE_DATA(CI)(IO)
Tout le mondeEn lecture
Paramètres de la liste DACL du lecteur de données de Windows Vista

Les éléments suivants sont les nouveaux paramètres de la liste DACL Windows Vista pour les lecteurs de données qui sont créés à l'aide de le programme programme Format.exe.
Réduire ce tableauAgrandir ce tableau
Utilisateur ou groupeEntrée de contrôle d'accèsHéritage de saisie contrôle l'accès
BUILTIN\AdministrateursContrôle total
BUILTIN\AdministrateursComplet contrôle(GHA)(CI)(IO)
NT AUTHORITY\SYSTEMContrôle total
NT AUTHORITY\SYSTEMComplet contrôle(GHA)(CI)(IO)
Nt\utilisateursModifier
Autorité NT\Utilisateurs authentifiés NT UtilisateursModifier(GHA)(CI)(IO)
BUILTIN\UtilisateursLecture et exécution
BUILTIN\UtilisateursLecture générique, générique exécuter(GHA)(CI)(IO)
Paramètres DACL du répertoire Windows Vista % racine_système %
Réduire ce tableauAgrandir ce tableau
Utilisateur ou groupeEntrée de contrôle d'accèsHéritage de saisie contrôle l'accès
BUILTIN\AdministrateursContrôle total
BUILTIN\AdministrateursComplet contrôle(GHA)(CI)(IO)
NT AUTHORITY\SYSTEMContrôle total
NT AUTHORITY\SYSTEMComplet contrôle(GHA)(CI)(IO)
BUILTIN\UtilisateursLecture et exécution(GHA)(CI)
Autorité NT\Utilisateurs authentifiés NT UtilisateursModifier(GHA)(CI)(IO)
Nt\utilisateursAjouter données
Niveau obligatoire de Label\High obligatoireNon écriture(GHA)(IO)(NP)

Comment faire pour désactiver la migration des données lecteur lorsque vous générez votre image

Dans certains environnements, vous souhaiterez pas convertir les ACL des lecteurs de données. Scénarios dans lesquels vous ne pouvez pas convertir les ACL de votre lecteur de données sont les suivants :
  • Si votre lecteur de données est partagée et si vous utilisez le BUILTIN\Users Modifier l'ACL pour obtenir l'accès.
  • Si vous disposez de nombreux fichiers de données et de répertoires sur votre lecteur de données et que vous ne rencontrez pas les problèmes d'accès aux données.

    Remarque : Dans ce scénario, la modification des ACL n'est pas nécessaire et peut augmenter considérablement les temps d'installation de Windows Vista.
Remarque : Kit d?installation automatisée (Windows AIK) (WAIK) contient un ensemble de outils de déploiement. Conseils à propos comment utiliser les outils de déploiement est disponible à partir du centre de téléchargement Microsoft. WAIK est destiné aux clients d'entreprise qui font le déploiement automatisé de Windows. Pour plus d'informations sur Windows AIK, visitez le site Web suivant :
http://www.Microsoft.com/downloads/details.aspx?familyid=c7d4bc6d-15f3-4284-9123-679830d629f2&displaylang=en
Pour désactiver la migration de lecteur de données, procédez comme étapes.
  1. Créer un répertoire pour stocker le Format Windows Imaging Fichier (WIM). Par exemple, créer un répertoire C:\VistaRTM\WIM.
  2. Créer un répertoire pour stocker d'exploitation non compressé image du système. Par exemple, créer un répertoire C:\VistaRTM\OS.
  3. Copiez le fichier Install.wim applicable dans le fichier WIM temporaire répertoire que vous avez créé à l'étape 1. Par exemple, tapez la commande suivante à l'invite de commandes pour copier le fichier Install.wim à partir de l'installation de Windows Vista média :
    Copie e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. Copiez le pilote de filtre d'image à partir du déploiement de Windows AIK outils dans le répertoire C:\VistaRTM\Driver. Pour ce faire, procédez comme suit :
    1. Cliquez sur Démarrer
      Réduire cette imageAgrandir cette image
      Bouton Démarrer
      , type cmd dans le Démarrer la recherche zone, avec le bouton droit cmd.exe dans Programmes liste, et puis cliquez sur Exécuter en tant qu'administrateur.
      Réduire cette imageAgrandir cette image
      Contrôle de compte d'utilisateur

					 autorisation
      Si vous êtes invité pour un mot de passe administrateur ou pour confirmation, tapez le mot de passe, ou cliquez sur Continuer.
    2. À l'invite de commandes, tapez les commandes suivantes. Appuyez sur ENTRÉE après chaque commande.

      CD c:\VistaRTM\Driver\
      wimfltr.sys
  5. À l'invite de commandes avec élévation de privilèges, montez l'applicables image .wim. Par exemple, tapez la commande suivante à l'invite de commande :
    ImageX.exe /MountRW c:\VistaRTM\WIM\install.WIM 1 c:\VistaRTM\OS
    Remarque : « 1 » est la valeur de l'index de l'image dans le fichier Install.wim. Dans la mesure où le fichier Install.wim peut répertorier plusieurs images d'édition de Windows, vous devez utiliser le commande ImageX /info install.wim pour afficher toutes les éditions de Windows dans le Fichier Install.wim. Lorsque vous avez identifié l'index correct pour le Édition de Windows, utilisez cette valeur avec la commande /MountRW .

    Pour plus d'informations sur l'outil ImageX et WIM, reportez-vous au site Web de Microsoft à l'adresse suivante :
    http://technet.Microsoft.com/en-us/windowsvista/aa905070.aspx
  6. Modifier la ruche de Registre système pour l'image WIM. Pour ce faire, procédez comme suit.

    Important Cette section, la méthode ou la tâche qui va suivre contient des étapes qui vous indiquent la méthode pour modifier le Registre de Windows. Toutefois, des problèmes sérieux peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous de suivre ces étapes avec une attention toute particulière. Afin de couvrir votre système d'une protection supplémentaire, veuillez sauvegarder le Registre avant d'intervenir pour y apporter des modifications. Ainsi, si à la suite des modifications un problème devait survenir, vous pourrez toujours restaurer le Registre. Pour obtenir des informations sur la marche à suivre pour sauvegarder ou restaurer la Base de Registre, cliquez sur le lien (numéro) ci-dessous et afficher l'article correspondant dans la Base de connaissances Microsoft :
    322756 Comment sauvegarder et restaurer le Registre dans Windows
    1. Cliquez sur Démarrer
      Réduire cette imageAgrandir cette image
      Bouton Démarrer
      , type Regedit dans le Démarrer la recherche zone, et puis cliquez sur Regedit dans le Programmesliste.
      Réduire cette imageAgrandir cette image
      Utilisateur

					 Autorisation de contrôle de compte
      Si vous êtes invité pour un administrateur mot de passe pour confirmation, tapez le mot de passe ou cliquez sur Continuer.
    2. Dans l'Éditeur du Registre, recherchez et cliquez HKEY_LOCAL_MACHINE, puis cliquez sur Charger la ruchesur la Fichier menu.
    3. Dans le Charger la ruche boîte de dialogue, sélectionnez le SYSTÈME répertoire dans le répertoire de Windows Vista, puis cliquez sur Ouvrir. Par exemple, sélectionnez la C:\VistaRTM\OS\Windows\System32\config\SYSTEM répertoire.
    4. Type TEMP_HKLM dans le Nom de la clé Pour créer une entrée de ruche temporaire, puis Cliquez sur OK.
    5. Recherchez et puis cliquez sur la sous-clé de Registre suivante.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. Sur la Modifier menu, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
    7. Type DDACLSys_Disabled, puis Appuyez sur ENTRÉE.
    8. Avec le bouton droit DDACLSys_Disabled, puis cliquez sur Modifier.
    9. Dans le Données de la valeur zone, tapez 1, puis cliquez sur OK.
  7. Après avoir modifié l'image, sceller l'image. Pour ce faire, Tapez la commande suivante à une invite de commande :
    ImageX.exe /UnMount /commit c:\VistaRTM\OS
  8. Remplacez le fichier Install.wim d'origine à l'aide de l'image modifiée. Pour ce faire, tapez la commande suivante à une invite de commande :
    Copiez C:\VistaRTM\OS\install.wim E:\sources\install.wim

Comment définir un lecteur protégé DACL

Restreindre la création de fichiers et de répertoires pour les utilisateurs standard

Pour spécifier que les utilisateurs standard ne peut pas créer les répertoires ou fichiers en dehors de leur profil utilisateur, Exécutez la commande suivante à une invite de commande élevée :
cacls D:P(A;;0x1301bf ; ;SY) (A; IOCIOI; GA; ;SY) (A; 0x1301bf ; ;BA) (A; IOCIOI; GA; ;BA) (A; OICI ; 0X1200A9 ; ;BU)

Permettre aux utilisateurs standard créer des répertoires de niveau supérieur

Pour spécifier que les utilisateurs standard peuvent créer des répertoires de niveau supérieur et qu'ils seront les propriétaires d'un répertoire et tous ses sous-répertoires, Exécutez la commande suivante à une invite de commande :
cacls D:P(A;;0x1301bf ; ;SY) (A; IOCIOI; GA; ;SY) (A; 0x1301bf ; ;BA) (A; IOCIOI; GA; ;BA) (A; OICI ; 0X1200A9 ; ;BU) (A;LC; ;BU) (A; OICIIO; GA; ;CO)

Comment définir un répertoire protégé pour un utilisateur spécifique

Pour spécifier seul un utilisateur spécifique peut accéder à un fichier ou un répertoire en dehors du profil utilisateur, procédez comme suit :
  1. Pour définir un répertoire protégé, vous devez d'abord obtenir le identificateur de sécurité (SID) de l'utilisateur actuellement connecté. Pour obtenir le SID Exécutez la commande suivante à une invite de commande :
    whoami /all
  2. Utilisez l'outil de ligne de commande Cacls.exe pour spécifier un document protégé répertoire. Pour ce faire, tapez la commande suivante à une invite de commande :
    Cacls Répertoire S: D:PAI(A;OICI;GA;;;SID) (A; OICI; GA; ;SY) (A; OICI; GA; ;BA)
    RemarqueRépertoire représente le chemin d'accès au répertoire le répertoire que vous souhaitez configurer. SIDreprésente le SID de l'utilisateur.
Les exemples de commandes suivants utilisent le répertoire PersonalSecureFolder. Ce répertoire se trouve dans le répertoire D:\.
  • Pour déterminer l'accès de sécurité de le répertoire D:\PersonalSecureFolder, tapez la commande suivante à une invite de commande :
    icacls.exe PersonalSecureFolder
    La commande génère la sortie suivante :
    BUILTIN\Administrators:(I)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
    
  • Pour exécuter la commande cacls.exe dans le répertoire D:\PersonalSecureFolder, Tapez la commande suivante à une invite de commande :
    cacls D:\PersonalSecureFolder/s: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI; GA; ;SY) (A; OICI; GA; ;BA)
  • Pour déterminer le nouveau NTFS DACL pour le répertoire D:\PersonalSecureFolder, tapez la commande suivante à une invite de commande :
    icacls.exe D:\PersonalSecureFolder
    La commande génère la sortie suivante :
    HomePC\Denise:(F)
    HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    

Propriétés

Numéro d'article: 949608 - Dernière mise à jour: jeudi 13 septembre 2012 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Premium
  • Windows Vista Édition Intégrale
  • Windows Vista Professionnel 64 bits
  • Windows Vista Entreprise 64 bits
  • Windows Vista Édition Familiale Basique 64 bits
  • Windows Vista Édition Familiale Premium 64 bits
  • Windows Vista Édition Intégrale 64 bits
Mots-clés : 
kbexpertiseinter kbinfo kbmt KB949608 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 949608
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com