在 Windows Vista 中的 NTFS 自由访问控制列表 (DACL) 设置更改为默认值

文章翻译 文章翻译
文章编号: 949608 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

在 Windows Vista 中的 NTFS 文件系统任意访问控件列表(Dacl) 被更改,以实现数据共享和数据中的协作外部受保护的目录的目录。用户的受保护的目录用户配置文件。对于示例中,假定 C:\Users\Denise\Pictures 目录是一个受保护的目录。A数据目录是此受保护的目录结构之外创建一个目录。D:\Pictures 是一个受保护的结构之外的目录。

假定史丹登录到她基于 Windows Vista 的计算机和她创建的在新目录她外部硬盘 (驱动器 D)。史丹名称"目录 FamilyPictures。以后,古柯的儿子,Brian,登录到计算机。Brian 创建新的目录,被命名为 SummerVacationPics在中FamilyPictures目录。然后,Brian SummerVacationPics 目录中保存了多张图片。如果Windows XP DACL 设置包括:应用到 SummerVacationPics 目录,古柯不能编辑任何中的图片SummerVacationPics 目录。这出现问题的原因 Dacl 将标记为 Brian只有具有写权限的用户。但是,DACL 默认行为具有已更改在 Windows Vista 中。因此,在 Windows Vista 中,古柯可以执行照片编辑 SummerVacationPics 目录中的图片上的任务。

这些 DACL更改允许用户共享,而无需指定编辑文件中的凭据 用户帐户控制 对话框。此外,用户可以手动创建一个目录专用。此功能用户可以保证轻松地维护数据的保密性和数据数据驱动器上的完整性。如果管理员已授予的权限提升的模式,则管理员可以读取专用目录。应使用"高级的模式"功能来保留从标准用户专用的数据。应用 Windows Vista DACL 设置在安装期间,并将它们迁移到任何检测到驱动器满足以下条件之一:
  • 驱动器不包含 Windows 操作系统的系统。
  • 通过使用默认的 Windows XP DACL 格式化驱动器设置。

更多信息

工具更新程序

已更改的 Convert.exe 和 Format.exe 的命令行工具在 Windows Vista 中要包括的新的新选项DACL 设置。但是,这些工具无法转换到的现有 Windows XP DACL 设置Windows Vista DACL 设置中。若要更改现有的 Windows XP DACL 设置为 Windows Vista DACL 的设置,您必须使用 Cacls.exe 命令行工具中Windows Vista。例如,以下命令将转换现有的 WindowsXP DACL 设置D:\ 数据驱动器为 Windows Vista DACL 设置:

Cacls D:\ /s:D: (A OICI; GA ;;BA) (A OICI; GA ;;SY) (A ; OICI ;SDGXGWGR ; ; ;AU) (A ; OICI ;GXGR ; ; ;BU)

在 Windows Vista 中的 DACL 设置

使用以下缩写名称中的表来确定访问的结果控件条目(ACE) 继承。

访问控制项继承缩写
收起该表格展开该表格
缩写说明
CI容器继承。将由继承访问控制项目录。
OI对象继承。将由继承访问控制项文件。
IO仅继承。访问控制项不适用于当前的文件和目录。
NP将不会传播继承。
Windows XP %systemroot%目录和数据驱动器 DACL 设置

以下是默认的 DACL 设置在 Windows XP 驱动器 %systemroot%目录和数据。
收起该表格展开该表格
用户或组访问控制项访问控制项继承
系统完整的控件(OI)(CI)
NT AUTHORITY\SYSTEM完整的控件(OI)(CI)
创建者所有者完全控制(OI)(CI)(IO)
BUILTIN\Users读取(OI)(CI)
BUILTIN\Users特殊访问权限:FILE_APPEND_DATA(CI)
BUILTIN\Users 特殊访问权限:FILE_WRITE_DATA(CI)(IO)
每个人读取
Windows Vista 数据驱动器 DACL 设置

以下是新的 Windows Vista DACL 设置为使用创建的数据驱动器的Format.exe 程序中。
收起该表格展开该表格
用户或组访问控制项访问控制项继承
系统完全控制
系统完整的控件(OI)(CI)(IO)
NT AUTHORITY\SYSTEM完全控制
NT AUTHORITY\SYSTEM完整的控件(OI)(CI)(IO)
NT AUTHORITY\Authenticated 用户修改
NT AUTHORITY\Authenticated用户修改(OI)(CI)(IO)
BUILTIN\Users读取和执行
BUILTIN\Users读取泛型、 泛型执行(OI)(CI)(IO)
Windows Vista %systemroot%目录 DACL 设置
收起该表格展开该表格
用户或组访问控制项访问控制项继承
系统完全控制
系统完整的控件(OI)(CI)(IO)
NT AUTHORITY\SYSTEM完全控制
NT AUTHORITY\SYSTEM完整的控件(OI)(CI)(IO)
BUILTIN\Users读取和执行(OI)(CI)
NT AUTHORITY\Authenticated用户修改(OI)(CI)(IO)
NT AUTHORITY\Authenticated 用户追加数据
强制 Label\High 强制性级别否写入(OI)(IO)(NP)

如何禁用数据驱动器迁移时您构建您的映像

在某些环境中,您可能不希望转换的数据驱动器的 Acl。在其中您可能不希望转换数据驱动器的 Acl 的方案如下所示:
  • 如果共享您的数据的驱动器,并使用 BUILTIN\UsersAcl,以获得修改访问权限。
  • 如果您有多个数据文件和多个目录您数据驱动器,并且您没有遇到数据访问问题。

    注意在这种情况下,更改 Acl,没有必要也可能会显著增加的 Windows Vista 安装时间。
注意将 Windows 自动安装工具包 (WAIK) 包含一组部署工具。指南有关如何使用部署工具可从 Microsoft 下载中心。将 WAIK 面向公司客户谁将执行自动化的 Windows 部署。有关将 WAIK 的详细信息,请访问下面的 Web 站点:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c7d4bc6d-15f3-4284-9123-679830d629f2&DisplayLang=en
若要禁用驱动器迁移数据,请按照以下步骤。
  1. 创建一个目录来存储 Windows 映像格式(WIM) 文件。例如,创建 C:\VistaRTM\WIM 目录。
  2. 创建一个目录来存储未压缩的操作系统映像。例如,创建 C:\VistaRTM\OS 目录。
  3. 将适用的 Install.wim 文件复制到临时 WIM在步骤 1 中创建的目录。例如,键入以下命令在命令提示符下,将 Install.wim 文件从 Windows Vista 安装复制媒体:
    复制 e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. 从将 WAIK 部署复制图像筛选器驱动程序到 C:\VistaRTM\Driver 目录的工具。请执行以下步骤:
    1. 单击 开始
      收起这个图片展开这个图片
      开始按钮
      键入 cmd 在中 开始搜索 框中,用鼠标右键单击 cmd.exe 在中 程序 列表中,并然后单击 以管理员身份运行.
      收起这个图片展开这个图片
      用户帐户控制权限
      如果系统提示您输入管理员密码或进行确认,键入密码,或单击 继续.
    2. 在命令提示符下键入以下命令。每条命令后按 ENTER。

      cd c:\VistaRTM\Driver\
      wimfltr.sys
  5. 在提升的命令提示符下,装载适用.wim 图像。例如,在命令提示符下键入以下命令:
    Imagex.exe /MountRW c:\VistaRTM\WIM\install。WIM 1 c:\VistaRTM\OS
    注意"1"是在 Install.wim 文件中的图像索引的值。因为Install.wim 文件可以列出多个 Windows 版本图像,您应使用imagex /info install.wim命令,以显示在所有 Windows 版本Install.wim 文件。当您已为正确的索引Windows 版使用该值与/MountRW命令。

    ImageX 工具有关的详细信息,有关 WIM,请访问下面的 Microsoft 网站:
    http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx
  6. 编辑 WIM 映像的系统注册表配置单元。若要执行此操作,请按照下列步骤。

    重要此部分、 方法或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保仔细遵循这些步骤。为增加保护,请您对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    322756 如何在 Windows XP 中备份和还原注册表
    1. 单击 开始
      收起这个图片展开这个图片
      开始按钮
      键入 注册表编辑器 在中 开始搜索 框中,并然后单击 注册表编辑器 在中 程序列表。
      收起这个图片展开这个图片
      用户帐户控制权限
      如果提示您输入管理员密码或进行确认,键入密码,或单击 继续.
    2. 在注册表编辑器中,找到并单击 ? 1????然后单击 加载配置单元在上 文件 菜单。
    3. 在中 加载配置单元 对话框中选择" 系统 在 Windows Vista 的目录,然后单击目录 打开.例如,选择 C:\VistaRTM\OS\Windows\System32\config\SYSTEM 目录。
    4. 键入 TEMP_HKLM 在中 键名称 框以创建一个临时的配置单元条目,然后单击 确定.
    5. 找到并单击以下注册表子项。
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. 在上 编辑 菜单指向 然后单击 DWORD 值.
    7. 键入 DDACLSys_Disabled然后按 ENTER 键。
    8. 用鼠标右键单击 DDACLSys_Disabled然后单击 修改.
    9. 在中 值数据 框中键入 1然后单击 确定.
  7. 修改图像后,密封图像。若要此操作,在命令提示符下键入以下命令:
    imagex.exe /UnMount /commit c:\VistaRTM\OS
  8. 使用修改后的图像替换原始的 Install.wim 文件。若要执行此操作,请在命令提示符下键入以下命令:
    复制 C:\VistaRTM\OS\install.wim E:\sources\install.wim

如何定义受保护的驱动器 DACL

限制为标准用户的文件和目录的创建

若要指定标准用户不能创建目录或其用户配置文件以外的文件提升的命令提示符处运行以下命令:
D:P(A;;0 caclsx1301bf ; ; ;SY) (A IOCIOI; GA ;;SY) (A ; ; 0x1301bf ; ; ;BA) (A IOCIOI; GA ;;BA) (A OICI; 0X1200A9;;BU)

允许标准用户创建顶级目录

若要指定标准用户可以创建顶级目录,它们将目录和所有子目录,所有者在命令提示符处运行以下命令:
D:P(A;;0 caclsx1301bf ; ; ;SY) (A IOCIOI; GA ;;SY) (A ; ; 0x1301bf ; ; ;BA) (A IOCIOI; GA ;;BA) (A OICI; 0X1200A9;;BU) (A ; ;LC ; ; ;BU) (A OICIIO; GA ;;CO)

如何定义特定用户的受保护的目录

若要指定只有特定的用户才可以访问的文件或目录以外的用户配置文件,请按照下列步骤:
  1. 若要定义一个受保护的目录,您必须首先获取当前登录的用户的安全标识符 (SID)。若要获取 SID,在命令提示符处运行以下命令:
    whoami/所有
  2. 使用 Cacls.exe 命令行工具指定为受保护目录。若要执行此操作,请在命令提示符下键入以下命令:
    Cacls 目录 S: D:PAI(A;OICI;GA;;;SID) (A OICI; GA ;;SY) (A OICI; GA ;;BA)
    注意目录 代表的目录路径您想要配置的目录。 SID表示用户的 SID。
下面的示例命令使用的 PersonalSecureFolder 目录。此目录位于 D:\ 目录中。
  • 若要确定的安全访问D:\PersonalSecureFolder 目录中,在命令提示符下键入以下命令:
    PersonalSecureFolder icacls.exe
    该命令生成以下输出:
    BUILTIN\Administrators:(I)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
    
  • 若要运行 cacls.exe 命令在 D:\PersonalSecureFolder 目录中,在命令提示符下键入以下命令:
    cacls D:\PersonalSecureFolder /S: D:PAI(A;OICI;GA;;;S-1-5-21-2840286564-3180458239-1922922813-1001) (A OICI; GA ;;SY) (A OICI; GA ;;BA)
  • 若要确定新的 NTFS DACL 的 D:\PersonalSecureFolder 目录,请在命令提示符下键入以下命令:
    D:\PersonalSecureFolder icacls.exe
    该命令生成以下输出:
    HomePC\Denise:(F)
    HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)
    

属性

文章编号: 949608 - 最后修改: 2012年9月20日 - 修订: 3.0
这篇文章中的信息适用于:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Ultimate
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
关键字:?
kbexpertiseinter kbinfo kbmt KB949608 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 949608
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com