Altera o padrão as configurações da lista de controle de acesso discricional (DACL) NTFS no Windows Vista

Traduções deste artigo Traduções deste artigo
ID do artigo: 949608 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

No Windows Vista, discricionária do sistema de arquivos NTFS Acesso Controle Listas (DACLs) foram alteradas para ativar o compartilhamento de dados e colaboração de dados diretórios são diretórios protegidos fora. É um diretório de usuário protegida o perfil do usuário. Para exemplo, suponha que o diretório C:\Users\Denise\Pictures é um diretório protegido. A diretório de dados é um diretório criado fora a estrutura de diretório protegido. D:\Pictures é um diretório que está fora da estrutura protegida.

Suponha que Denise Silva faz logon em seu computador baseado no Windows Vista e que ela cria um novo diretório seu disco de rígido externo (unidade D). Denise nomes o diretório FamilyPictures. Posteriormente, Filho de Denise, Brian, logon no computador. Brian cria um novo diretório que é denominado SummerVacationPics no FamilyPictures diretório. Em seguida, Brian salva várias imagens na pasta SummerVacationPics. Se o Configurações de DACL do Windows XP Denise aplicado no diretório SummerVacationPics, não é possível editar qualquer a imagens da Diretório de SummerVacationPics. Isso comportamento ocorre porque as DACLs marcar Brian como o único usuário que tem permissões de gravação. No entanto, DACL padrão comportamento tem foi alterado no Windows Vista. Portanto, no Windows Vista, Denise pode executar tarefas de imagens no diretório SummerVacationPics de edição de fotos.

Esses DACL alterações permitem aos usuários compartilhar e editar arquivos sem especificar credenciais na Controle de conta de usuário caixa de diálogo. Além disso, os usuários podem manualmente fazer uma pasta particular. Este recurso garante que os usuários podem manter facilmente dados e confidencialidade de dados unidades de integridade de dados. Pastas particulares são lidas por um administrador se o administrador tem permissões de modo elevado. O recurso de "modo elevado" deve ser usado para manter dados particulares de usuários padrão. São aplicadas as configurações de DACL do Windows Vista durante a instalação, e eles são migrados para qualquer detectado unidade que atende a um dos seguintes critérios:
  • A unidade não contém um sistema operacional Windows.
  • A unidade está formatada usando o Windows XP DACL padrão configurações.

Mais Informações

Atualizações da ferramenta

As ferramentas de linha de comando Convert. exe e Format. exe foi alteradas no Windows Vista para incluir novas opções para o novo Configurações de DACL. No entanto, Esses ferramentas não é possível converter as configurações existentes do Windows XP DACL para configurações de DACL do Windows Vista. Para alterar uma configuração existente do Windows XP DACL para uma configuração de DACL do Windows Vista, você deve usar a ferramenta de linha de comando cacls. exe em O Windows Vista. Por exemplo, o comando a seguir converte Windows existente Configurações de DACL XP o Unidade de dados D:\ para Configurações de DACL do Windows Vista:

Cacls D:\ /s: d: (A; OICI; GA;;BA) (A; OICI; GA;;SY) (A; OICI;SDGXGWGR;;AU) (A; OICI;GXGR;;BU)

Configurações de DACL no Windows Vista

Use a seguinte tabela de abreviações para determinar o resultados de acesso controle entrada Herança (ACE).

Abreviações de herança de entrada de controle de acesso
Recolher esta tabelaExpandir esta tabela
AbreviaçãoDescrição
CIHerança de recipiente. A entrada de controle de acesso será herdada por diretórios.
OIHerança de objeto. A entrada de controle de acesso será herdada por arquivos.
IOSomente herança. A entrada de controle de acesso não se aplica a arquivo atual e o diretório.
NPHerança não será propagada.
Configurações de DACL de unidade de dados e o diretório % systemroot % do Windows XP

Estes são o padrão as configurações de DACL para o unidade % systemroot % e diretório de dados no Windows XP.
Recolher esta tabelaExpandir esta tabela
Usuário ou grupoEntrada de controle de acessoHerança de entrada de controle de acesso
BUILTIN\Administradores.Total controle(OI)(CI)
NT AUTHORITY\SYSTEM.Total controle(OI)(CI)
PROPRIETÁRIO CRIADORControle total(OI)(CI)(ES)
BUILTIN\UsersLeitura(OI)(CI)
BUILTIN\UsersAcesso especial: FILE_APPEND_DATA(CI)
BUILTIN\Users Acesso especial: FILE_WRITE_DATA(CI)(ES)
TodosLeitura
Configurações de DACL de unidade de dados do Windows Vista

A seguir estão as novas configurações de DACL do Windows Vista para unidades de dados são criadas usando o programa Format.
Recolher esta tabelaExpandir esta tabela
Usuário ou grupoEntrada de controle de acessoHerança de entrada de controle de acesso
BUILTIN\Administradores.Controle total
BUILTIN\Administradores.Total controle(OI)(CI)(ES)
NT AUTHORITY\SYSTEM.Controle total
NT AUTHORITY\SYSTEM.Total controle(OI)(CI)(ES)
NT \ usuáriosModificar
NT AUTHORITY\Authenticated UsuáriosModificar(OI)(CI)(ES)
BUILTIN\UsersLer e executar
BUILTIN\UsersLeitura genérica genérica executar(OI)(CI)(ES)
Configurações de DACL do Windows Vista % systemroot % diretório
Recolher esta tabelaExpandir esta tabela
Usuário ou grupoEntrada de controle de acessoHerança de entrada de controle de acesso
BUILTIN\Administradores.Controle total
BUILTIN\Administradores.Total controle(OI)(CI)(ES)
NT AUTHORITY\SYSTEM.Controle total
NT AUTHORITY\SYSTEM.Total controle(OI)(CI)(ES)
BUILTIN\UsersLer e executar(OI)(CI)
NT AUTHORITY\Authenticated UsuáriosModificar(OI)(CI)(ES)
NT \ usuáriosAcrescentar dados
Nível obrigatório de Label\High obrigatórioNão gravação(OI)(ES)(NP)

Como desabilitar a migração da unidade de dados ao criar a imagem

Em alguns ambientes, não é aconselhável converter as ACLs de suas unidades de dados. Cenários nos quais não convém converter as ACLs da unidade de dados incluem o seguinte:
  • Se sua unidade de dados é compartilhada e usar o BUILTIN\Users Modificarem o ACLs para obter acesso.
  • Se você tiver muitos arquivos de dados e vários diretórios em seu unidade de dados e você não está tendo problemas de acesso de dados.

    Observação Nesse cenário, alterando as ACLs é desnecessário e pode aumentar significativamente o tempo de instalação do Windows Vista.
Observação O Automated instalação Kit WAIK (Windows) contém um conjunto de ferramentas de implantação. Orientação sobre como usar as ferramentas de implantação está disponível no Centro de Download da Microsoft. WAIK é direcionado a clientes corporativos quem está fazendo a implantação automatizada do Windows. Para obter mais informações sobre o WAIK, visite o seguinte site:
http://www.microsoft.com/downloads/details.aspx?familyid=c7d4bc6d-15f3-4284-9123-679830d629f2&displaylang=en
Para desabilitar a migração da unidade de dados, siga estas etapas.
  1. Crie um diretório para armazenar o Windows Imaging Format Arquivo (WIM). Por exemplo, crie um diretório de c:\VistaRTM\WIM..
  2. Crie um diretório para armazenar o operacional descompactado imagem do sistema. Por exemplo, crie um diretório de c:\VistaRTM\OS..
  3. Copie o arquivo Install. wim aplicável WIM temporário diretório que você criou na etapa 1. Por exemplo, digite o seguinte comando: no prompt de comando para copiar o arquivo Install. wim a partir da instalação do Windows Vista mídia:
    Cópia e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. Copiar o driver de filtro de imagem de implantação WAIK ferramentas para o diretório C:\VistaRTM\Driver. Para fazer isso, siga estes passos:
    1. Clique em Iniciar
      Recolher esta imagemExpandir esta imagem
      Botão Iniciar
      , tipo cmd no Iniciar pesquisa caixa, com o botão direito cmd. exe em Programas lista, e Clique em Executar como administrador.
      Recolher esta imagemExpandir esta imagem
      Controle de conta de usuário

					 permissão
      Se for solicitado para uma senha de administrador ou confirmação, digite a senha ou clique em Continuar.
    2. No prompt de comando, digite os seguintes comandos. Pressione ENTER após cada comando.

      CD c:\VistaRTM\Driver\
      wimfltr
  5. No prompt de comando elevado, monte o aplicável imagem. wim. Por exemplo, digite o seguinte comando no prompt de comando:
    ImageX /MountRW c:\VistaRTM\WIM\install.WIM 1 c:\VistaRTM\OS.
    Observação "1" é o valor do índice de imagem no arquivo Install. wim. Porque o arquivo Install. wim pode listar várias imagens do Windows edition, você deve usar o comando ImageX /info install. wim para exibir todas as edições do Windows de Arquivo Install. wim. Quando você tiver identificado o índice correto para o Windows edition, use esse valor com o comando /MountRW .

    Para obter mais informações sobre a ferramenta de ImageX e sobre o WIM, visite o seguinte site da Microsoft:
    http://technet.microsoft.com/en-US/windowsvista/aa905070.aspx
  6. Edite o hive do registro do sistema para a imagem WIM. Para isso, siga estas etapas.

    Importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer problemas graves se modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, faça backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    322756 Como fazer backup e restaurar o registro no Windows
    1. Clique em Iniciar
      Recolher esta imagemExpandir esta imagem
      Botão Iniciar
      , tipo Regedit no Iniciar pesquisa caixa, e Clique em Regedit no Programaslista.
      Recolher esta imagemExpandir esta imagem
      Usuário

					 Permissão de controle de conta
      Se você for solicitado para o administrador senha ou confirmação, digite a senha ou clique em Continuar.
    2. No Editor do registro, localize e clique em HKEY_LOCAL_MACHINEe clique em Carregar Hivesobre o Arquivo menu.
    3. No Carregar Hive caixa de diálogo, selecione o SISTEMA diretório no diretório do Windows Vista e clique em Abrir. Por exemplo, selecione o C:\VistaRTM\OS\Windows\System32\config\SYSTEM. diretório.
    4. Tipo TEMP_HKLM no Nome da chave caixa para criar uma entrada de seção temporária e Clique em OK.
    5. Localize e clique na seguinte subchave do registro.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. Sobre o Editar aponte para Novoe clique em Valor DWORD.
    7. Tipo DDACLSys_Disablede Pressione ENTER.
    8. Com o botão direito DDACLSys_Disablede clique em Modificar.
    9. No Dados do valor caixa, digite 1e clique em OK.
  7. Depois de modificar a imagem, lacre a imagem. Para fazer isso, Digite o seguinte comando no prompt de comando:
    ImageX /UnMount /commit c:\VistaRTM\OS.
  8. Substitua o arquivo Install. wim original usando a imagem modificada. Para fazer isso, digite o seguinte comando no prompt de comando:
    Copiar C:\VistaRTM\OS\install.wim E:\sources\install.wim

Como definir uma unidade protegida DACL

Restringir a criação de arquivos e diretórios para usuários padrão

Para especificar que os usuários padrão não é possível criar diretórios ou arquivos fora de seus perfis de usuário Execute o seguinte comando em um prompt de comando elevado:
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI; GA;;BA) (A; OICI; 0X1200A9;;BU)

Permitir que usuários padrão criar diretórios de nível superior

Para especificar que os usuários padrão podem criar pastas de nível superior e eles serão proprietários de um diretório e seus subdiretórios, Execute o seguinte comando no prompt de comando:
cacls D:P(A;;0x1301bf;;SY) (A; IOCIOI; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI; GA;;BA) (A; OICI; 0X1200A9;;BU) (A;LC;;BU) (A; OICIIO; GA;;CO)

Como definir um diretório protegido para um usuário específico

Para especificar que um determinado usuário pode acessar um arquivo ou uma pasta fora do perfil de usuário, siga estas etapas:
  1. Para definir um diretório protegido, você deve primeiro obter o identificador de segurança (SID) do usuário que está conectado no momento. Para obter o SID Execute o seguinte comando no prompt de comando:
    whoami /All
  2. Use a ferramenta de linha de comando cacls. exe para especificar uma planilha protegida diretório. Para fazer isso, digite o seguinte comando no prompt de comando:
    Cacls Diretório S: D:PAI(A;OICI;GA;;;SID) (A; OICI; GA;;SY) (A; OICI; GA;;BA)
    ObservaçãoDiretório representa o caminho da pasta o diretório que você deseja configurar. SIDrepresenta o SID do usuário.
Os seguintes comandos de exemplo usam o diretório PersonalSecureFolder. Este diretório está localizado no diretório D:\.
  • Para determinar a segurança de acesso do o diretório D:\PersonalSecureFolder, digite o seguinte comando no prompt de comando:
    icacls. exe PersonalSecureFolder
    O comando gera a seguinte saída:
    BUILTIN\Administrators:(I)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
    
  • Para executar o comando cacls. exe no diretório D:\PersonalSecureFolder Digite o seguinte comando no prompt de comando:
    cacls D:\PersonalSecureFolder /s: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI; GA;;SY) (A; OICI; GA;;BA)
  • Para determinar o novo NTFS DACL para o diretório D:\PersonalSecureFolder, digite o seguinte comando no prompt de comando:
    icacls. exe D:\PersonalSecureFolder
    O comando gera a seguinte saída:
    HomePC\Denise:(F)
    HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    

Propriedades

ID do artigo: 949608 - Última revisão: domingo, 16 de setembro de 2012 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
Palavras-chave: 
kbexpertiseinter kbinfo kbmt KB949608 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 949608

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com