Cambia il valore predefinito delle impostazioni NTFS controllo elenco DACL (Discretionary Access) in Windows Vista

Traduzione articoli Traduzione articoli
Identificativo articolo: 949608 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In Windows Vista, il file system NTFS discrezionali Accesso Controllo Elenchi Sono state modificate (DACL) per attivare la condivisione dei dati e alla collaborazione di dati Directory directory protette all'esterno. ╚ una directory dell'utente protetto profilo dell'utente. Per esempio, si supponga che la directory C:\Users\Denise\Pictures Ŕ una directory protetta. A directory dati Ŕ una directory creata di fuori di questa struttura di directory protetta. D:\Pictures Ŕ una directory di fuori della struttura protetta.

Si supponga che Denise Smith accede al proprio computer basato su Windows Vista e che crea un nuova directory il disco rigido esterno (unitÓ D). Denise nomi VerrÓ visualizzata la finestra di dialogo Directory FamilyPictures. In seguito, Figlio di Marcella Venturi, Brian, accede al computer. Brian crea una nuova directory che Ŕ denominato SummerVacationPics nel FamilyPictures Directory. Quindi, Brian Salva pi¨ immagini nella directory SummerVacationPics. Se il Impostazioni DACL di Windows XP applicare alla directory SummerVacationPics, Denise non pu˛ modificare qualsiasi il le immagini nel Directory SummerVacationPics. Questo comportamento si verifica perchÚ gli elenchi DACL contrassegnare Brian come il solo utente che dispone delle autorizzazioni di scrittura. Tuttavia, DACL predefinito comportamento ha stato modificato in Windows Vista. Di conseguenza, in Windows Vista, pu˛ eseguire Denise operazioni sulle immagini nella directory SummerVacationPics di modifica delle foto.

Questi DACL le modifiche consentono agli utenti di condividere e modificare i file senza specificare le credenziali di Controllo Account utente Nella finestra di dialogo. Inoltre, gli utenti possono apportate manualmente una directory private. Questa funzionalitÓ garantisce che gli utenti possono gestire i dati e la riservatezza dei dati unitÓ di integritÓ dei dati. Directory private sono leggibili da un amministratore se l'amministratore ha concesso le autorizzazioni con privilegi elevati. La funzionalitÓ "con privilegi elevati" deve essere utilizzata per mantenere dati privati da utenti standard. Vengono applicate le impostazioni DACL di Windows Vista durante l'installazione e migrazione a qualsiasi rilevata unitÓ che soddisfa uno dei seguenti criteri:
  • L'unitÓ non Ŕ un sistema operativo Windows.
  • L'unitÓ Ŕ formattata utilizzando Windows XP DACL predefinito impostazioni.

Informazioni

Aggiornamenti dello strumento

Gli strumenti della riga di comando Convert. exe e Format. exe sono stati modificati. in Windows Vista per includere nuove opzioni per il nuovo Impostazioni DACL. Tuttavia, Questi strumenti Impossibile convertire le impostazioni di Windows XP DACL esistenti a le impostazioni di Windows Vista DACL. Per modificare un'impostazione di Windows XP DACL esistente Per impostazione di un elenco DACL di Windows Vista, Ŕ necessario utilizzare lo strumento della riga di comando cacls. exe in Windows Vista. Ad esempio, converte il comando seguente Windows esistente Impostazioni DACL XP del UnitÓ dati D:\ a Impostazioni DACL di Windows Vista:

/S: d D:\ cacls: (A; OICI; GA;;BA) (A; OICI; GA;;SY) (A; OICI;SDGXGWGR;;AU) (A; OICI;GXGR;;BU)

Impostazioni DACL in Windows Vista

Utilizzare la seguente tabella delle abbreviazioni per determinare il risultati di access Controllo voce EreditarietÓ (ACE).

Abbreviazioni di accesso controllo voce ereditarietÓ
Riduci questa tabellaEspandi questa tabella
AbbreviazioneDescrizione
CIContenitore ereditano. La voce di controllo di accesso verrÓ ereditata da Directory.
OIOggetto eredita. La voce di controllo di accesso verrÓ ereditata da file.
IOSolo ereditÓ. La voce di controllo di accesso non Ŕ valida per il file corrente e directory.
NPL'ereditarietÓ non verrÓ propagata.
Impostazioni DACL di unitÓ di dati e la directory di Windows XP % systemroot %

Di seguito sono l'impostazione predefinita le impostazioni DACL per il unitÓ % systemroot % directory e per i dati in Windows XP.
Riduci questa tabellaEspandi questa tabella
Utente o gruppoVoce di controllo di accessoEreditÓ di voce di controllo accesso
BUILTIN\Administrators.Completo Controllo(OI)(CI)
NT AUTHORITY\SYSTEM.Completo Controllo(OI)(CI)
CREATOR OWNERControllo completo(OI)(CI)(IO)
BUILTIN\UsersLettura(OI)(CI)
BUILTIN\UsersAccesso speciale: FILE_APPEND_DATA(CI)
BUILTIN\Users Accesso speciale: FILE_WRITE_DATA(CI)(IO)
Tutti gli utentiLettura
Impostazioni DACL di unitÓ di dati di Windows Vista

Di seguito sono per le unitÓ di dati che vengono creati utilizzando le nuove impostazioni di DACL di Windows Vista il programma Format. exe.
Riduci questa tabellaEspandi questa tabella
Utente o gruppoVoce di controllo di accessoEreditÓ di voce di controllo accesso
BUILTIN\Administrators.Controllo completo
BUILTIN\Administrators.Completo Controllo(OI)(CI)(IO)
NT AUTHORITY\SYSTEM.Controllo completo
NT AUTHORITY\SYSTEM.Completo Controllo(OI)(CI)(IO)
NT AUTHORITY\Authenticated UsersModificare
NT AUTHORITY\Authenticated UtentiModificare(OI)(CI)(IO)
BUILTIN\UsersLettura ed esecuzione
BUILTIN\UsersLettura generica, generico eseguire(OI)(CI)(IO)
Impostazioni di Windows Vista % systemroot % directory DACL
Riduci questa tabellaEspandi questa tabella
Utente o gruppoVoce di controllo di accessoEreditÓ di voce di controllo accesso
BUILTIN\Administrators.Controllo completo
BUILTIN\Administrators.Completo Controllo(OI)(CI)(IO)
NT AUTHORITY\SYSTEM.Controllo completo
NT AUTHORITY\SYSTEM.Completo Controllo(OI)(CI)(IO)
BUILTIN\UsersLettura ed esecuzione(OI)(CI)
NT AUTHORITY\Authenticated UtentiModificare(OI)(CI)(IO)
NT AUTHORITY\Authenticated UsersAppend dati
Livello obbligatorio Label\High obbligatorioNo Scrittura(OI)(IO)(NP)

Come disabilitare la migrazione dei dati unitÓ quando si genera l'immagine

In alcuni ambienti, non puoi convertire gli ACL delle unitÓ dati. Scenari in cui non si desideri convertire gli ACL dell'unitÓ di dati i seguenti:
  • Se l'unitÓ di dati Ŕ condiviso e se si utilizza il BUILTIN\Users Modificare l'ACL per ottenere l'accesso.
  • Se si dispone di molti file di dati e il numero di directory unitÓ di dati e non siano verificati problemi di accesso ai dati.

    Nota In questo scenario, la modifica degli ACL non Ŕ necessaria e pu˛ aumentare notevolmente il tempo di installazione di Windows Vista.
Nota Windows Automated Installation Kit (WAIK) contiene un insieme di strumenti di distribuzione. Linee guida informazioni su come utilizzare gli strumenti di distribuzione Ŕ disponibile dall'area Download Microsoft. WAIK Ŕ destinata ai clienti aziendali chi sta eseguendo la distribuzione automatica di Windows. Per ulteriori informazioni su WAIK, visitare il sito Web:
http://www.microsoft.com/downloads/details.aspx?familyid=c7d4bc6d-15f3-4284-9123-679830d629f2&displaylang=en
Per disattivare la migrazione di unitÓ di dati, attenersi alla seguente passaggi.
  1. Creare una directory per memorizzare il formato Windows Imaging File (WIM). Ad esempio, creare una directory C:\VistaRTM\WIM.
  2. Creare una directory per memorizzare il funzionamento non compresso immagine del sistema. Ad esempio, creare una directory C:\VistaRTM\OS.
  3. Copiare il file Install. wim applicabile WIM temporaneo directory creata nel passaggio 1. Ad esempio, digitare il seguente comando al prompt dei comandi per copiare il file Install. wim dall'installazione di Windows Vista supporti:
    Copia e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. Copiare il driver del filtro immagine dalla distribuzione WAIK strumenti per la directory C:\VistaRTM\Driver. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic su Avviare
      Riduci l'immagineEspandi l'immagine
      Pulsante Start
      , tipo cmd nel Avviare la ricerca casella Fare clic con il pulsante destro del mouse su cmd. exe in Programmi elenco, e Fare clic su Esegui come amministratore.
      Riduci l'immagineEspandi l'immagine
      Controllo Account utente

					 autorizzazione
      Se viene chiesto di una password di amministratore o di conferma, digitare la password o fare clic su Continua.
    2. Al prompt dei comandi, digitare i comandi seguenti. Premere INVIO dopo ciascun comando.

      CD c:\VistaRTM\Driver\
      wimfltr
  5. Montare l'applicabile al prompt con privilegi elevati immagine WIM. Ad esempio, digitare il seguente comando al prompt dei comandi:
    C:\VistaRTM\WIM\install /MountRW ImageX. exe.WIM 1 c:\VistaRTM\OS
    Nota "1" Ŕ il valore di indice dell'immagine nel file Install wim. PoichÚ il file Install WIM Ŕ possibile elencare pi¨ immagini di edizione di Windows, Ŕ necessario utilizzare il comando di ImageX /info WIM consente di visualizzare tutte le edizioni di Windows nel File Install wim. Quando Ŕ stato identificato l'indice corretto per il Edizione di Windows, utilizzare tale valore con il comando /MountRW .

    Per ulteriori informazioni sull'utilitÓ di ImageX e informazioni su WIM, visitare il seguente sito Web Microsoft:
    http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx
  6. Modificare l'hive del Registro di sistema per l'immagine WIM. Per effettuare questa operazione, attenersi alla seguente procedura.

    Importante Questa sezione, metodo o attivitÓ contiene viene illustrato come modificare il Registro di sistema. Tuttavia, pu˛ causare seri problemi se si modifica il Registro di sistema in modo non corretto. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, Ŕ possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
    Articolo 322756 Come eseguire il backup e ripristino del Registro di sistema Windows
    1. Fare clic su Avviare
      Riduci l'immagineEspandi l'immagine
      Pulsante Start
      , tipo Regedit nel Avviare la ricerca casella, e Fare clic su Regedit nel Programmielenco.
      Riduci l'immagineEspandi l'immagine
      Utente

					 Autorizzazione di controllo account
      Se viene richiesto all'amministratore password di conferma, digitare la password o fare clic su Continua.
    2. Nell'Editor del Registro di sistema individuare e quindi fare clic su HKEY_LOCAL_MACHINE, quindi fare clic su Carica Hivenel File dal menu.
    3. Nel Carica Hive Nella finestra di dialogo select VerrÓ visualizzata la finestra di dialogo SISTEMA Directory nella directory di Windows Vista, quindi scegliere Apri. Ad esempio, selezionare il C:\VistaRTM\OS\Windows\System32\config\SYSTEM Directory.
    4. Tipo TEMP_HKLM nel Nome della chiave Per creare una voce temporanea HIVE, quindi Fare clic su OK.
    5. Individuare e selezionare la seguente sottochiave del Registro di sistema.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. Nel Modifica dal menu Nuovo, quindi fare clic su Valore DWORD.
    7. Tipo DDACLSys_Disabled, quindi premere INVIO.
    8. Pulsante destro del mouse DDACLSys_Disabled, quindi fare clic su Modificare.
    9. Nel Dati valore digitare 1, quindi fare clic su OK.
  7. Dopo aver modificato l'immagine, Ŕ necessario sigillare l'immagine. A tale scopo, digitare il seguente comando al prompt:
    ImageX /UnMount /commit c:\VistaRTM\OS
  8. Sostituire il file Install. wim originale utilizzando l'immagine modificata. Per effettuare questa operazione, digitare il seguente comando al prompt:
    Copiare C:\VistaRTM\OS\install.wim E:\sources\install.wim

Come definire un'unitÓ protetta DACL

Limitare la creazione di file e directory per gli utenti standard

Per specificare che gli utenti standard non possono creare le directory o file esterno i profili utente eseguire il comando seguente al prompt dei comandi con privilegi elevati:
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI; GA;;BA) (A; OICI; 0X1200A9;;BU)

Consentire agli utenti standard di creare directory di primo livello

Per specificare che gli utenti standard possono creare le directory di livello superiore e che siano proprietari di una directory e tutte le relative sottodirectory eseguire il seguente comando al prompt:
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI; GA;;BA) (A; OICI; 0X1200A9;;BU) (A;LC;;BU) (A; OICIIO; GA;;CO)

Come definire una directory protetta per un utente specifico

Per specificare che pu˛ accedere solo un utente specifico un file o una directory all'esterno del profilo utente, attenersi alla seguente procedura:
  1. Per definire una directory protetta, Ŕ innanzitutto necessario ottenere il identificatore di protezione (SID) dell'utente attualmente connesso. Per ottenere il SID eseguire il seguente comando al prompt:
    whoami /all
  2. Utilizzare lo strumento della riga di comando cacls. exe per specificare un protetto Directory. Per effettuare questa operazione, digitare il seguente comando al prompt:
    Cacls Directory S: D:PAI(A;OICI;GA;;;SID) (A; OICI; GA;;SY) (A; OICI; GA;;BA)
    NotaDirectory rappresenta il percorso della directory la directory che si desidera configurare. SIDrappresenta il SID dell'utente.
I comandi di esempio riportato di seguito utilizzano la directory PersonalSecureFolder. Questa directory si trova nella directory D:\.
  • Per determinare l'accesso di protezione di la directory D:\PersonalSecureFolder, digitare il seguente comando al prompt dei comandi:
    Icacls. exe PersonalSecureFolder
    Il comando genera il seguente output:
    BUILTIN\Administrators:(I)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
    
  • Per eseguire il comando cacls. exe nella directory D:\PersonalSecureFolder digitare il seguente comando al prompt:
    cacls D:\PersonalSecureFolder /s: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI; GA;;SY) (A; OICI; GA;;BA)
  • Per determinare il nuovo DACL di NTFS per la directory D:\PersonalSecureFolder, digitare il seguente comando al prompt:
    Icacls. exe D:\PersonalSecureFolder
    Il comando genera il seguente output:
    HomePC\Denise:(F)
    HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    

ProprietÓ

Identificativo articolo: 949608 - Ultima modifica: mercoledý 25 luglio 2012 - Revisione: 3.0
Le informazioni in questo articolo si applicano a:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
Chiavi:á
kbexpertiseinter kbinfo kbmt KB949608 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 949608
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com