Изменения параметров NTFS разграничительного доступа управления доступом (DACL) в Windows Vista по умолчанию

Код статьи: 949608 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Развернуть все | Свернуть все

На этой странице

ВВЕДЕНИЕ

В Windows Vista файловая система Дискреционный NTFS Доступ Элемент управления Списки Включение общего доступа к данным и совместная работа в данных были изменены (DACL) каталоги, которые находятся вне защищенные каталоги. Это защищенный каталог пользователя в профиле пользователя. Для пример, предположим, что каталог C:\Users\Denise\Pictures, является защищенным. A каталог данных представляет собой каталог, созданные вне этой структуры защищенный каталог. D:\Pictures — это каталог, который выходит за пределы защищенного структуры.

Предполагается, что Елена Кузнецова входит на свой компьютер под управлением Windows Vista и что она создает новый каталог свой внешний жесткий диск (диск D). Зинаида Uninstall очередь каталог FamilyPictures. Позже, Дэнис его сын, Брайан, входит на компьютер. Брайан создает новый каталог, с именем SummerVacationPics в FamilyPictures каталог. Затем Брайан сохраняет несколько изображений в каталоге SummerVacationPics. Если Параметры Windows XP DACL применяется к каталогу SummerVacationPics, Зинаида нельзя изменять изображения в Каталог SummerVacationPics. Это проблема возникает, поскольку списки DACL пометить Брайан как только пользователь, имеющий права на запись. Однако DACL по умолчанию имеет поведение был изменен в Windows Vista. Таким образом в Windows Vista Зинаида можно выполнять редактировать изображения в каталоге SummerVacationPics на фотографии.

Эти DACL изменения позволяют пользователям совместно использовать и изменять файлы без указания учетные данные в Контроль учетных записей пользователей диалоговое окно. Кроме того пользователям можно вручную вносить каталог private. Эта функция гарантирует, что пользователи могут легко сохранять конфиденциальность данных и данных целостность дисков с данными. Закрытые каталоги могут быть прочитаны администратором, если администратор обладает повышенными разрешениями. Функция «режиме с повышенными правами» должен использоваться для сохранения Данные частной из обычных пользователей. Применяются параметры Windows Vista DACL во время установки и они переносятся на любые обнаруженные диска, соответствует одному из следующих критериев:
  • Диск не содержит операционной системы Windows.
  • Он был отформатирован с помощью Windows XP DACL по умолчанию параметры.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Обновления программы

Средства командной строки Convert.exe и Format.exe были изменены в Windows Vista, чтобы включить новые параметры для нового Настройка списка DACL. Тем не менее, Эти Tools не удается преобразовать существующие параметры Windows XP DACL Настройка списка DACL Windows Vista. Для изменения существующего параметра Windows XP DACL для настройки списка DACL Windows Vista, необходимо использовать средство командной строки Cacls.exe в Windows Vista. Например следующая команда преобразует существующие Windows Настройка списка DACL XP на Диск данных D:\ для Настройки Windows Vista DACL:

CACLS D:\ /s:D: (A; OICI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;БИЗНЕС-АНАЛИТИКИ) (A; OICI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;SY) (A; OICI;SDGXGWGR;;AU) (A; OICI;GXGR;;BU)

Настройка списка DACL в Windows Vista

Следующая таблица сокращений служит для определения Результаты доступа Управление Параметр Наследование (ACE).

Сокращения наследования записи управления доступа
Свернуть эту таблицуРазвернуть эту таблицу
СокращениеОписание
CIНаследовать контейнера. Наследуемые записи управления доступом каталоги.
OIНаследование объектов. Наследуемые записи управления доступом файлы.
ВВОД-ВЫВОДТолько наследование. Запись управления доступом не применяется к текущих файлов и каталогов.
ИМЕНОВАННЫЕ КАНАЛЫНаследование, не будут учтены.
Параметры DACL диска в каталоге % systemroot % для Windows XP и данных

Ниже перечислены по умолчанию параметры DACL для диск % systemroot % каталога и для данных в Windows XP.
Свернуть эту таблицуРазвернуть эту таблицу
Пользователь или группаЗапись управления доступомНаследование запись управления доступом
BUILTIN\АдминистраторыПолный доступ Управление(OI)(CI)
"NT AUTHORITY\SYSTEM"Полный доступ Управление(OI)(CI)
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦПолный доступ(OI)(CI)(IO)
BUILTIN\ПользователиЧтение(OI)(CI)
BUILTIN\ПользователиСпециальный доступ. FILE_APPEND_DATA(CI)
BUILTIN\Пользователи Специальный доступ. FILE_WRITE_DATA(CI)(IO)
«Все»Чтение
Параметры DACL диска Windows Vista данных

Ниже приведены новые параметры Windows Vista DACL для дисков с данными, которые создаются с помощью Программа Format.exe.
Свернуть эту таблицуРазвернуть эту таблицу
Пользователь или группаЗапись управления доступомНаследование запись управления доступом
BUILTIN\АдминистраторыПолный доступ
BUILTIN\АдминистраторыПолный доступ Управление(OI)(CI)(IO)
"NT AUTHORITY\SYSTEM"Полный доступ
"NT AUTHORITY\SYSTEM"Полный доступ Управление(OI)(CI)(IO)
Прошедшие проверкуИзменить
Интерактивных NT ПользователиИзменить(OI)(CI)(IO)
BUILTIN\ПользователиЧтение и выполнение
BUILTIN\ПользователиЧтение, универсальные выполнен(OI)(CI)(IO)
Каталог Windows Vista % systemroot % DACL параметров
Свернуть эту таблицуРазвернуть эту таблицу
Пользователь или группаЗапись управления доступомНаследование запись управления доступом
BUILTIN\АдминистраторыПолный доступ
BUILTIN\АдминистраторыПолный доступ Управление(OI)(CI)(IO)
"NT AUTHORITY\SYSTEM"Полный доступ
"NT AUTHORITY\SYSTEM"Полный доступ Управление(OI)(CI)(IO)
BUILTIN\ПользователиЧтение и выполнение(OI)(CI)
Интерактивных NT ПользователиИзменить(OI)(CI)(IO)
Прошедшие проверкуДобавление DATA
Обязательные Label\High обязательный уровеньНет запись(OI)(IO)(NP)

Как отключить диск переноса данных при построении образа

В некоторых средах не может потребоваться преобразовать ACL дисков с данными. Сценарии, в которых может не требуется преобразовать ACL на диске данные следующие условия:
  • Если на диске данных используется совместно и использовать BUILTIN\Users Списки управления доступом, чтобы получить изменения доступа.
  • Если у вас есть несколько файлов данных и количество каталогов вашем диск данных, а не возникают проблемы доступа к данным.

    Примечание В этом случае изменение ACL необязателен и может значительно увеличить время установки Windows Vista.
Примечание Пакет автоматической установки Windows (WAIK) содержит набор средства развертывания. Руководство о Использование средств развертывания доступно в центре загрузки Майкрософт. WAIK предназначен для корпоративных клиентов кто при выполнении автоматического развертывания Windows. Для получения дополнительных сведений о WAIK, посетите следующий веб-узел:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = c7d4bc6d-15f3-4284-9123-679830d629f2 & DisplayLang = en
(http://www.microsoft.com/downloads/details.aspx?FamilyID=c7d4bc6d-15f3-4284-9123-679830d629f2&DisplayLang=en)
Чтобы отключить перенос данных диска, выполните следующие действия.
  1. Создайте каталог для хранения Windows Imaging Format Файл (WIM). Например можно создайте каталог C:\VistaRTM\WIM.
  2. Создайте каталог для хранения несжатого эксплуатации образ системы. Например можно создайте каталог C:\VistaRTM\OS.
  3. Скопируйте соответствующий файл Install.wim временные WIM каталог, созданный на шаге 1. Например введите следующую команду Чтобы скопировать файл Install.wim из установки Windows Vista, выполните в командной строке команду мультимедиа:
    Скопируйте e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. Скопируйте драйвер фильтра образа из развертывания пакета автоматической установки Windows средства в каталог C:\VistaRTM\Driver. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Начало
      Свернуть это изображениеРазвернуть это изображение
      Кнопка "Пуск"
      , тип cmd В диалоговом окне Начать поиск поле Щелкните правой кнопкой мыши Cmd.exe в Программы список, и Нажмите кнопку Запуск от имени администратора.
      Свернуть это изображениеРазвернуть это изображение
      Контроль учетных записей пользователей Разрешение
      Если при запросе пароля администратора или подтверждения, введите пароль или нажмите кнопку Продолжить.
    2. В командной строке введите следующие команды. Нажмите клавишу ВВОД после каждой команды.

      c:\VistaRTM\Driver\ компакт-диска
      Wimfltr.sys
  5. В командной строке с повышенными правами подключите соответствующий изображение .wim. Например введите следующую команду в командной строке:
    C:\VistaRTM\WIM\install/mountrw ImageX.exe.C:\VistaRTM\OS WIM 1
    Примечание «1» — это значение индекса изображения в файл Install.wim. Так как файл Install.wim можно перечислить несколько образов выпуск Windows, следует использоватьImageX/Info install.wim для отображения всех выпусков Windows в Файл Install.wim. Когда определили надлежащее для Выпуск Windows использовать его вместе с / MountRW команда.

    Для получения дополнительных сведений о средстве ImageX и о WIM посетите следующий веб-узел корпорации Майкрософт:
    http://technet.microsoft.com/ru-ru/windowsvista/aa905070.aspx
    (http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx)
  6. Измените раздел реестра System для образа WIM. Чтобы сделать это, выполните следующие действия.

    Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
    322756
    (http://support.microsoft.com/kb/322756/ )
    Резервное копирование и восстановление реестра Windows
    1. Нажмите кнопку Начало
      Свернуть это изображениеРазвернуть это изображение
      Кнопка "Пуск"
      , тип regedit В диалоговом окне Начать поиск поле, и Нажмите кнопку regedit В диалоговом окне Программысписок.
      Свернуть это изображениеРазвернуть это изображение
      Пользователь Разрешение управления учетной записью
      При появлении для администратора пароль для подтверждения, введите пароль или нажмите кнопку Продолжить.
    2. В редакторе реестра найдите и выберите команду HKEY_LOCAL_MACHINE, а затем нажмите кнопку Загрузить кустВ меню Файл меню.
    3. В Загрузить куст диалоговое окно, выберите очередь СИСТЕМА каталог в каталоге Windows Vista, а затем нажмите Открыть. Например, Выбор C:\VistaRTM\OS\Windows\System32\config\SYSTEM каталог.
    4. Тип TEMP_HKLM В диалоговом окне Имя ключа поле для создания временной записи КУСТА, а затем Нажмите кнопку ОК.
    5. Найдите и выделите следующий раздел реестра.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. На Редактирование Выберите пункт Новый, а затем нажмите кнопку Значение типа DWORD.
    7. Тип DDACLSys_Disabled, а затем Нажмите клавишу ВВОД.
    8. Щелкните правой кнопкой мыши DDACLSys_Disabled, а затем нажмите кнопку Изменить.
    9. В Значение данных поле типа 1, а затем нажмите кнопку ОК.
  7. После изменения образа запечатайте изображения. Чтобы сделать это, в командной строке введите следующую команду:
    c:\VistaRTM\OS/Commit ImageX.exe /UnMount
  8. Замените оригинальный файл Install.wim с помощью измененного изображения. Для этого введите следующую команду в командной строке:
    Скопируйте C:\VistaRTM\OS\install.wim E:\sources\install.wim

Как определить защищенном диске DACL

Ограничения создания файлов и каталогов для обычных пользователей

Чтобы указать что стандартные пользователи не могут создавать каталоги или файлы вне своих профилей выполните следующую команду в командной строке с повышенными правами:
CACLS D:P(A;;0x1301bf;;SY) (A; IOCIOI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;SY) (A; 0x1301bf;;БИЗНЕС-АНАЛИТИКИ) (A; IOCIOI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;БИЗНЕС-АНАЛИТИКИ) (A; OICI; 0X1200A9;;BU)

Стандартные пользователи могут создавать каталоги верхнего уровня

Чтобы указать что стандартные пользователи могут создавать каталоги верхнего уровня и что они будут владельцами каталога и всех его подкаталогах в командной строке выполните следующую команду:
CACLS D:P(A;;0x1301bf;;SY) (A; IOCIOI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;SY) (A; 0x1301bf;;БИЗНЕС-АНАЛИТИКИ) (A; IOCIOI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;БИЗНЕС-АНАЛИТИКИ) (A; OICI; 0X1200A9;;BU) (A;LC;;BU) (A; OICIIO;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;CO)

Как определить защищенный каталог для определенного пользователя

Чтобы указать имеет доступ только определенным пользователем файл или каталог вне профиля пользователя, выполните следующие действия:
  1. Определите защищенный каталог, вам необходимо получить Идентификатор безопасности (SID) пользователя, вошедшего в систему. Чтобы получить идентификатор безопасности, в командной строке выполните следующую команду:
    whoami/все
  2. Укажите защищенный с помощью средства командной строки Cacls.exe каталог. Для этого введите следующую команду в командной строке:
    CACLS Каталог S: D:PAI(A;OICI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;SID) (A; OICI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;SY) (A; OICI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;БИЗНЕС-АНАЛИТИКИ)
    Примечание Каталог представляет путь к каталогу каталог, который требуется настроить. SIDПредставляет идентификатор безопасности пользователя.
Приведенные ниже команды с помощью каталога PersonalSecureFolder. Этот каталог находится в каталоге D:\.
  • Для определения прав доступа из каталог D:\PersonalSecureFolder, введите следующую команду в командной строке:
    средство icacls.exe PersonalSecureFolder
    Команда генерирует следующий вывод:
    BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\Authenticated Users:(I)(M)
NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
  • Чтобы запустить средство Cacls.exe в каталоге D:\PersonalSecureFolder в командной строке введите следующую команду:
    CACLS D:PAI(A;OICI; D:\PersonalSecureFolder/s:ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;; S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;SY) (A; OICI;ГЛОБАЛЬНЫЙ АДМИНИСТРАТОР;;БИЗНЕС-АНАЛИТИКИ)
  • Чтобы определить новый список DACL файловой системы NTFS для каталога D:\PersonalSecureFolder, введите следующую команду в командной строке:
    средство icacls.exe D:\PersonalSecureFolder
    Команда генерирует следующий вывод:
    HomePC\Denise:(F)
HomePC\Denise:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Administrators:(F)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 949608 - Последнее изменение :: 19 июня 2011 г. - Редакция: 4.0
Информация в данной статье относится к следующим продуктам.
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
Ключевые слова: 
kbexpertiseinter kbinfo kbmt KB949608 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:949608
(http://support.microsoft.com/kb/949608/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы