Altera a predefinição de definições de NTFS discricionária controlo de acesso List (DACL) no Windows Vista

No Windows Vista, o NTFS ficheiro sistema discricionária listas de controlo de acesso (DACL) foram alteradas para activar a partilha de dados e colaboração em directórios de dados que são directórios protegidos externos. Directório protegido de um utilizador é o perfil do utilizador. Por exemplo, suponha que o directório C:\Users\Denise\Pictures é um directório protegido. Um directório de dados é um directório criados fora esta estrutura de directório protegido. D:\Pictures é um directório que está fora da estrutura protegida.

Suponha que Diana Santos inicia seu computador baseado no Windows Vista e ela cria um novo directório no seu disco rígido externo (unidade D). Diana atribui o directório FamilyPictures. Mais tarde, filho ?s Diana, Brian, inicie sessão no computador. Brian cria um novo directório denominado SummerVacationPics in a FamilyPictures directório. Em seguida, Brian guarda várias imagens no directório SummerVacationPics. Se forem aplicadas as definições do Windows XP DACL para o directório SummerVacationPics, Diana não é possível editar qualquer das imagens no directório SummerVacationPics. Este comportamento ocorre porque as DACLs marcar Brian como o único utilizador que tenha permissões de escrita. No entanto, a DACL predefinida comportamento foi alterado no Windows Vista. Por conseguinte, no Windows Vista, Diana pode executar tarefas de imagens no directório SummerVacationPics edição de fotografias.

Estes DACL altera deixe que os utilizadores partilha e editar ficheiros sem especificar as credenciais na caixa de diálogo Controlo de conta de utilizador . Além disso, os utilizadores podem efectuar manualmente um directório privada. Esta funcionalidade garante que os utilizadores podem facilmente manter dados confidencialidade e integridade de dados em unidades de dados. Directórios privados são legíveis por um administrador se o administrador tiver sido concedido permissões de modo elevados. A funcionalidade de "modo elevados" deve ser utilizada para manter dados privados de utilizadores padrão. As definições do Windows Vista DACL são aplicadas durante a instalação e são migradas para qualquer unidade detectada que cumpra uma das seguintes critérios:

• A unidade não contém um sistema operativo Windows.
• A unidade está formatada utilizando o Windows XP DACL predefinido definições.

Ferramenta actualizações

As ferramentas da linha de comandos convert.exe e Format.exe foram alteradas no Windows Vista para incluir novas opções para as novas definições de DACL. No entanto, estas ferramentas não é possível converter definições existentes do Windows XP DACL às definições do Windows Vista DACL. Para alterar uma definição do Windows XP DACL existente para uma definição de DACL do Windows Vista, tem de utilizar a ferramenta da linha de comandos do Cacls.exe no Windows Vista. Por exemplo, o seguinte comando converte definições existentes do Windows XP DACL na unidade de dados D:\ às definições da DACL do Windows Vista:

Cacls D:\ /s:D:(A;OICI;GA;;;BA)(A; OICI; GA;; SY)(A; OICI SDGXGWGR;; AU)(A; OICI GXGR;; BU)

Definições de DACL no Windows Vista

Utilize a seguinte tabela das abreviaturas para determinar os resultados da entrada de controlo de acesso (ACE, Access Control ENTRY) herança.

acesso controlo entrada herança abreviaturas Windows directório % systemroot % e dados unidade DACL definições

Seguem-se as definições de DACL predefinida para o directório % systemroot % e da unidade de dados no Windows XP. Windows Vista dados unidade DACL definições

Seguem-se as novas definições DACL do Windows Vista para unidades de dados que são criadas utilizando o programa Format.exe. Windows Vista % systemroot % directório DACL definições

Como desactivar a migração de unidade de dados quando criar a imagem

Em alguns ambientes, não poderá converter as ACL das unidades de dados. Cenários em que não poderá converter as ACL da unidade de dados incluem:

• Se a unidade de dados for partilhada e se utilizar o BUILTIN\Utilizadores ACL conseguir modificar o acesso.
• Se tiver vários ficheiros de dados e vários directórios na unidade de dados e não estarem a problemas de acesso de dados.
  
  Nota Neste cenário, as ACL a alteração não é necessário e poderá aumentar significativamente o tempo de instalação do Windows Vista.

Nota O Kit de instalação automática (WAIK) da Windows contém um conjunto de ferramentas de implementação. Está disponível orientações sobre como utilizar as ferramentas de implementação a partir do Centro de transferências da Microsoft. WAIK direccionada para os clientes empresariais que estão a fazer implementação automatizada do Windows. Para obter mais informações sobre WAIK, visite o seguinte Web site:Para desactivar a migração de unidade de dados, siga estes passos.

1. Criar um directório para armazenar o formato do Windows Imaging (WIM) de ficheiro. Por exemplo, crie um directório C:\VistaRTM\WIM.
2. Crie um directório para armazenar a imagem do sistema operativo não comprimido. Por exemplo, crie um directório C:\VistaRTM\OS.
3. Copie o ficheiro Install.wim aplicável para o WIM temporário directório que criou no passo 1. Por exemplo, escreva o seguinte comando numa linha de comandos para copiar o ficheiro Install.wim de suporte de instalação do Windows Vista:
   copiar e:\sources\install.wim c:\VistaRTM\WIM\install.wim
4. Copie o controlador de filtro de imagem a partir de ferramentas de implementação WAIK para o directório C:\VistaRTM\Driver. Para o fazer, siga estes passos:
   1. Clique em Iniciar
      Reduzir esta imagemExpandir esta imagem

      
      , escreva cmd na caixa Iniciar procura , clique com o botão direito do rato em cmd.exe na lista programas e, em seguida, clique em Executar como administrador .
      
      Reduzir esta imagemExpandir esta imagem

      
      Se lhe for pedido para uma palavra-passe de administrador ou confirmação, escreva a palavra-passe ou clique em continuar .
   2. Na linha de comandos, escreva os seguintes comandos. Prima ENTER após cada comando.
      
      cd c:\VistaRTM\Driver\
      wimfltr.sys
5. Na linha de comandos elevado, monte a imagem .wim aplicável. Por exemplo, escreva o seguinte comando na linha de comandos:
   imagex.exe /MountRW c:\VistaRTM\WIM\install.WIM 1 c:\VistaRTM\OS
   Nota "1" é o valor do índice imagem no ficheiro Install.wim. Uma vez que o ficheiro Install.wim pode listar várias imagens de edição do Windows, deverá utilizar o comando imagex /info install.wim para apresentar todas as edições do Windows no ficheiro Install.wim. Quando identificou o índice correcto para a edição do Windows, utilize esse valor em conjunto com o / MountRW comandos.
   
   Para mais informações sobre a ferramenta ImageX e sobre WIM, visite o seguinte Web site da Microsoft:
   http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx (http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx)
6. Edite o ramo de registo do sistema para a imagem WIM. Para o fazer, siga estes passos.
   
   importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
   322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows
   1. Clique em Iniciar
      Reduzir esta imagemExpandir esta imagem

      
      , escreva regedit na caixa Iniciar procura e, em seguida, clique em regedit em programas lista.
      
      Reduzir esta imagemExpandir esta imagem

      
      Se lhe for pedido para uma palavra-passe de administrador ou confirmação, escreva a palavra-passe ou clique em continuar .
   2. No Editor de registo, localize e, em seguida, clique em HKEY_LOCAL_MACHINE e, em seguida, clique em Carregar ramo de registo no menu ficheiro .
   3. Na caixa de diálogo Carregar ramo de registo , seleccione o directório SYSTEM no directório Windows Vista e, em seguida, clique em Abrir . Por exemplo, seleccione o directório C:\VistaRTM\OS\Windows\System32\config\SYSTEM .
   4. Tipo TEMP_HKLM na caixa Nome da chave para criar uma entrada de ramo de registo temporária e, em seguida, clique em OK .
   5. Localize e, em seguida, clique na seguinte subchave de registo.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
   6. No menu Editar , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
   7. Escreva DDACLSys_Disabled e, em seguida, prima ENTER.
   8. Clique com o botão direito do rato DDACLSys_Disabled e, em seguida, clique em Modificar .
   9. Na caixa dados do valor , escreva 1 e, em seguida, clique em OK .
7. Depois de modificar a imagem, Sele a imagem. Para o fazer, escreva o seguinte comando numa linha de comandos:
   ImageX.exe /UnMount /commit c:\VistaRTM\OS
8. Substitua o ficheiro Install.wim original utilizando a imagem modificada. Para o fazer, escreva o seguinte comando numa linha de comandos:
   cópia C:\VistaRTM\OS\install.wim E:\sources\install.wim

Como definir uma unidade protegida DACL

Restringir a criação de ficheiro e directório para utilizadores padrão

Para especificar que os utilizadores padrão não é possível criar directórios ou ficheiros fora os perfis de utilizador, execute o seguinte comando numa linha de comandos elevada:

Permitir aos utilizadores padrão criar directórios de nível superior

Para especificar que os utilizadores padrão podem criar directórios de nível superior e que serão os proprietários de um directório e todos os respectivos subdirectórios, execute o seguinte comando numa linha de comandos:

Como definir um directório protegido para um utilizador específico

Para especificar que apenas um utilizador específico pode aceder a um ficheiro ou um directório fora o perfil de utilizador, siga estes passos:

1. Para definir um directório protegido, tem primeiro de obter o identificador de segurança (SID, Security Identifier) do utilizador actualmente com sessão iniciada. Para obter o SID, execute o seguinte comando numa linha de comandos:
   whoami /all
2. Utilize a ferramenta da linha de comandos do Cacls.exe para especificar um directório protegido. Para o fazer, escreva o seguinte comando numa linha de comandos:
   /s: de Directory Cacls D:PAI(A;OICI;GA;;;SID) (A;OICI;GA;;;SY)(A;OICI;GA;;;BA)
   Nota Directory representa o caminho do directório do directório que pretende configurar. SID representa SID ?s utilizador.

Os comandos de exemplo que se seguem utilizam o directório PersonalSecureFolder. Este directório está localizado no directório D:\.

• Para determinar o acesso de segurança do directório D:\PersonalSecureFolder, escreva o seguinte comando numa linha de comandos:
  icacls.exe PersonalSecureFolder
  O comando gera a seguinte saída:

  BUILTIN\Administrators:(I)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
  NT AUTHORITY\SYSTEM:(I)(F)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
  NT AUTHORITY\Authenticated Users:(I)(M)
  NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
  

• Para executar o comando cacls.exe no directório D:\PersonalSecureFolder, escreva o seguinte comando numa linha de comandos:
  cacls D:\PersonalSecureFolder/s: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001)(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)
• Para determinar a nova DACL de NTFS para o directório D:\PersonalSecureFolder, escreva o seguinte comando numa linha de comandos:
  icacls.exe D:\PersonalSecureFolder
  O comando gera a seguinte saída:

  HomePC\Denise:(F)
  HomePC\Denise:(OI)(CI)(IO)(F)
  NT AUTHORITY\SYSTEM:(F)
  NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
  BUILTIN\Administrators:(F)
  BUILTIN\Administrators:(OI)(CI)(IO)(F)