Altera para o padrão configurações NTFS Discretionary Access Control DACL (lista) no Windows Vista

No Windows Vista, o NTFS arquivo sistema Discretionary Access Control Lists (DACLs) foram alteradas para ativar o compartilhamento de dados e colaboração em diretórios de dados que estão fora de diretórios protegidos. Pasta protegida do usuário é o perfil do usuário. Por exemplo, suponha que o diretório C:\Users\Denise\Pictures é um diretório protegido. Um diretório de dados é um diretório criado fora essa estrutura de diretório protegido. D:\Pictures é um diretório que está fora a estrutura protegida.

Suponha que Denise Silva faz logon em seu computador baseado no Windows Vista e que ela cria uma nova pasta em seu disco rígido externo (unidade D). Denise nomeia o diretório FamilyPictures. Posteriormente, filho ?s Denise, Brian, efetua logon no computador. Brian cria um novo diretório chamado SummerVacationPics in a FamilyPictures diretório. Em seguida, Brian salva várias imagens na pasta SummerVacationPics. Se as configurações de DACL do Windows XP forem aplicadas a pasta SummerVacationPics, Denise não pode editar qualquer uma das imagens no diretório SummerVacationPics. Esse comportamento ocorre porque as DACLs marcar Brian como o único usuário que tenha permissões de gravação. No entanto, a DACL padrão comportamento foi alterado no Windows Vista. Portanto, no Windows Vista, Denise pode executar tarefas de imagens no diretório SummerVacationPics edição de fotos.

Esses DACL altera permitem que os usuários compartilhamento e editar arquivos sem especificar as credenciais na caixa de diálogo Controle de conta de usuário . Além disso, os usuários podem manualmente fazer uma pasta particular. Esse recurso garante que os usuários podem facilmente manter confidencialidade e integridade dos dados nas unidades de dados. Pastas particulares podem ser lidas por um administrador se o administrador tiver recebido permissões de modo elevado. O recurso de "modo elevado" deve ser usado para manter dados particulares dos usuários padrão. As configurações de DACL do Windows Vista são aplicadas durante a instalação e eles são migrados a qualquer unidade detectada que atende a um dos seguintes critérios:

• A unidade não contém um sistema operacional Windows.
• A unidade é formatada usando o Windows XP DACL padrão as configurações.

Atualizações da ferramenta

As ferramentas de linha de comando Convert.exe e Format.exe foram alteradas no Windows Vista para incluir novas opções para as novas configurações de DACL. No entanto, essas ferramentas não é possível converter as configurações de DACL do Windows XP existentes às configurações de DACL do Windows Vista. Para alterar uma configuração de DACL do Windows XP existente para uma configuração de DACL do Windows Vista, você deve usar a ferramenta de linha de comando do cacls.exe no Windows Vista. Por exemplo, o comando a seguir converte as configurações de DACL do Windows XP na unidade de dados D:\ existentes em configurações de DACL do Windows Vista:

Cacls D:\ /s:D:(A;OICI;GA;;;BA)(UM OICI; GA;; SY)(UM OICI; SDGXGWGR;; AU)(A; OICI; GXGR;; BU)

Configurações de DACL no Windows Vista

Use a tabela a seguir de abreviações para determinar os resultados da entrada de controle de acesso (ACE) herança.

abreviações de herança de entrada de controle de acesso Windows XP pasta % systemroot % e dados unidade configurações de DACL

A seguir estão as configurações de DACL padrão para a pasta % systemroot % e para a unidade de dados no Windows XP. configurações de DACL de unidade de dados do Windows Vista

A seguir estão as novas configurações de DACL do Windows Vista para unidades de dados que são criadas usando o programa de Format.exe. configurações de DACL de diretório do Windows Vista % systemroot %

Como desabilitar a migração de unidade de dados quando você cria sua imagem

Em alguns ambientes, talvez você não deseja converter as ACLs de suas unidades de dados. Cenários em que talvez não queira converter as ACLs da sua unidade de dados incluem o seguinte:

• Se sua unidade de dados é compartilhada e se você usar o BUILTIN\Usuários modificar ACLs para obter o acesso.
• Se você tiver muitos arquivos de dados e várias pastas na sua unidade de dados, e você não estiver tendo problemas de acesso de dados.
  
  Observação Nesse cenário, alterar as ACLs é desnecessário e pode aumentar significativamente o tempo de instalação do Windows Vista.

Observação O Windows automatizada WAIK (Kit de instalação) contém um conjunto de ferramentas de implantação. Orientações sobre como usar as ferramentas de implantação está disponível no Centro de download da Microsoft da. WAIK está direcionado para clientes corporativos que estiverem fazendo implantação automatizada do Windows. Para obter mais informações sobre o WAIK, visite o seguinte site:Para desabilitar a migração de unidade de dados, siga estas etapas.

1. Criar um diretório para armazenar o Windows Imaging Format (WIM) de arquivo. Por exemplo, crie um diretório C:\VistaRTM\WIM.
2. Crie um diretório para armazenar a imagem de sistema operacional não compactado. Por exemplo, crie um diretório C:\VistaRTM\OS.
3. Copie o arquivo Install.wim aplicável para o WIM temporário diretório que você criou na etapa 1. Por exemplo, digite o seguinte comando em um prompt de comando para copiar o arquivo Install.wim de mídia de instalação do Windows Vista:
   Copiar e:\sources\install.wim c:\VistaRTM\WIM\install.wim
4. Copie o driver de filtro de imagem das ferramentas de implantação WAIK para o diretório C:\VistaRTM\Driver. Para fazer isso, execute as seguintes etapas:
   1. Clique em Iniciar com o
      Recolher esta imagemExpandir esta imagem

      
      , digite cmd na caixa Iniciar procura , clique com o botão direito cmd.exe na lista programas e, em seguida, clique em Executar como administrador .
      
      Recolher esta imagemExpandir esta imagem

      
      Se você for solicitada uma senha de administrador ou confirmação, digite a senha ou clique em continuar .
   2. No prompt de comando, digite os seguintes comandos. Pressione ENTER após cada comando.
      
      cd c:\VistaRTM\Driver\
      wimfltr.sys
5. No prompt de comando elevado, monte a imagem WIM aplicável. Por exemplo, digite o seguinte comando no prompt de comando:
   Imagex.exe mountrw c:\VistaRTM\WIM\install.WIM 1 c:\VistaRTM\OS
   Observação "1" é o valor do índice de imagem no arquivo Install.wim. Porque o arquivo Install.wim pode listar várias imagens de edição do Windows, você deve usar o comando imagex /info install.wim para exibir todas as edições do Windows no arquivo Install.wim. Quando você identificou o índice correto para a edição do Windows, use esse valor com o / MountRW comando.
   
   Para obter mais informações sobre a ferramenta ImageX e sobre o WIM, visite o seguinte site:
   http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx (http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx)
6. Edite a seção de registro do sistema para a imagem WIM. Para fazer isso, siga estas etapas.
   
   importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
   322756  (http://support.microsoft.com/kb/322756/ ) Como fazer backup e restaurar o registro no Windows
   1. Clique em Iniciar com o
      Recolher esta imagemExpandir esta imagem

      
      , digite regedit na caixa Iniciar procura e, em seguida, clique em regedit em programas lista.
      
      Recolher esta imagemExpandir esta imagem

      
      Se você for solicitada uma senha de administrador ou confirmação, digite a senha ou clique em continuar .
   2. No Editor do Registro, localize e, em seguida, clique em HKEY_LOCAL_MACHINE e, em seguida, clique em Carregar seção no menu arquivo .
   3. Na caixa de diálogo Carregar seção , selecione a pasta SYSTEM no diretório do Windows Vista e em seguida, clique em Abrir . Por exemplo, selecione o diretório C:\VistaRTM\OS\Windows\System32\config\SYSTEM .
   4. Tipo TEMP_HKLM na caixa Nome da chave para criar uma entrada temporária de seção e, em seguida, clique em OK .
   5. Localize e, em seguida, clique na seguinte subchave do Registro.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
   6. No menu Editar , aponte para novo e, em seguida, clique em Valor DWORD .
   7. Digite DDACLSys_Disabled e, em seguida, pressione ENTER.
   8. Clique com o botão direito do mouse DDACLSys_Disabled e, em seguida, clique em Modificar .
   9. Na caixa dados do valor , digite 1 e, em seguida, clique em OK .
7. Depois de modificar a imagem, lacre a imagem. Para fazer isso, digite o seguinte comando em um prompt de comando:
   ImageX.exe /UnMount /commit c:\VistaRTM\OS
8. Substitua o arquivo Install.wim original usando a imagem modificada. Para fazer isso, digite o seguinte comando em um prompt de comando:
   cópia C:\VistaRTM\OS\install.wim E:\sources\install.wim

Como definir uma unidade protegida DACL

Restringir a criação de arquivo e diretório para usuários padrão

Para especificar que os usuários padrão não é possível criar diretórios ou arquivos fora seus perfis de usuário, execute o seguinte comando em um prompt de comando elevado:

Permitir que usuários padrão criar diretórios de nível superior

Para especificar que os usuários padrão podem criar pastas de nível superior e que eles serão os proprietários de um diretório e todos os seus subdiretórios, execute o seguinte comando em um prompt de comando:

Como definir um diretório protegido para um usuário específico

Para especificar que somente um usuário específico pode acessar um arquivo ou uma pasta fora o perfil de usuário, execute as seguintes etapas:

1. Para definir um diretório protegido, você deve primeiro obter o identificador de segurança (SID) do usuário que está conectado no momento. Para obter o SID, execute o seguinte comando em um prompt de comando:
   whoami /all
2. Use a ferramenta de linha de comando cacls.exe para especificar um diretório protegido. Para fazer isso, digite o seguinte comando em um prompt de comando:
   /s: do Directory Cacls D:PAI(A;OICI;GA;;;SID) (A;OICI;GA;;;SY)(A;OICI;GA;;;BA)
   Observação Directory representa o caminho de diretório da pasta que você deseja configurar. SID representa SID o usuário ?s.

Os comandos de exemplo a seguir usam o diretório PersonalSecureFolder. Esta pasta está localizada no diretório D:\.

• Para determinar a segurança de acesso do diretório D:\PersonalSecureFolder, digite o seguinte comando em um prompt de comando:
  icacls.exe PersonalSecureFolder
  O comando gera a seguinte saída:

  BUILTIN\Administrators:(I)(F)
  BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
  NT AUTHORITY\SYSTEM:(I)(F)
  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
  NT AUTHORITY\Authenticated Users:(I)(M)
  NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
  

• Para executar o comando cacls.exe no diretório D:\PersonalSecureFolder, digite o seguinte comando em um prompt de comando:
  cacls D:\PersonalSecureFolder/s: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001)(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)
• Para determinar a DACL NTFS novo para o diretório D:\PersonalSecureFolder, digite o seguinte comando em um prompt de comando:
  icacls.exe D:\PersonalSecureFolder
  O comando gera a seguinte saída:

  HomePC\Denise:(F)
  HomePC\Denise:(OI)(CI)(IO)(F)
  NT AUTHORITY\SYSTEM:(F)
  NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
  BUILTIN\Administrators:(F)
  BUILTIN\Administrators:(OI)(CI)(IO)(F)