文章編號: 949608 - 上次校閱: 2008年3月26日 - 版次: 1.0

變更預設的 Windows Vista 中的 NTFS 判別存取控制清單 (DACL) 設定

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

簡介

在 Windows Vista 中之 NTFS 檔案系統判別存取控制清單 (DACL) 已經變更成啟用資料共用及共同作業] 是外的受保護的目錄的資料目錄中。使用者的受保護的目錄是使用者的設定檔。 比方說假設 C:\Users\Denise\Pictures 目錄是受保護的目錄。 資料目錄是這個受保護的目錄結構之外建立一個目錄。 D:\Pictures 是受保護的結構之外的目錄。

假設 Denise Smith 登入到她 Windows Vista 的電腦,而且她她外部的硬碟 (D 磁碟機) 上建立新的目錄。Denise 命名目錄 FamilyPictures。 稍後,Denise ’s 兒子志,登入電腦。 布萊恩會建立新的目錄,名為 [FamilyPictures 的 SummerVacationPics 目錄。然後,志 SummerVacationPics 目錄以儲存多張圖片。 如果 Windows XP DACL 設定會套用到 SummerVacationPics 目錄,Denise 無法編輯任何 SummerVacationPics 目錄中的圖片。 將 DACL 還原將志標示為唯一的使用者擁有 「 寫入 」 權限,就會發生這個問題。不過,DACL 預設的行為已變更 Windows Vista 中。 因此,Windows Vista 中 Denise 可以執行相片編輯 SummerVacationPics 目錄中的圖片中的任務。

這些 DACL 變更可以讓的使用者共用,並編輯檔案而不需 使用者帳戶控制] 對話方塊中指定認證。 此外,使用者可以手動進行目錄私用。這項功能可保證使用者可以輕鬆地維護資料機密性及資料磁碟機上的資料完整性。如果系統管理員已授與提高權限的模式的權限,則由系統管理員可讀取私用的目錄。 提高權限的模式 」 功能應該用來防止標準使用者私人資料。安裝,期間套用 Windows Vista DACL 設定,以及它們遷移至符合下列準則之一任何偵測到磁碟機:
  • 磁碟機並不包含 Windows 作業系統。
  • 磁碟機格式化藉由使用 Windows XP DACL 預設設定。
回此頁最上方

其他相關資訊

工具的更新

已經變更 Convert.exe 和 Format.exe 命令列工具,在 Windows Vista 中,加入新的 DACL 設定的新選項。不過,這些工具無法將現有的 Windows XP DACL 設定值轉換成 Windows Vista DACL 設定。要將一個現有的 Windows XP DACL 設定變更為 Windows Vista DACL 設定,您必須在 Windows Vista 中使用 Cacls.exe 命令列工具。比方說下列命令會將 D:\ 資料磁碟機上的現有 Windows XP DACL 設定轉換為 Windows Vista DACL 設定:

Cacls D:\ /s:D:(A;OICI;GA;;;BA)(A ; OICI ; GA;; SY)(A ; OICI ; SDGXGWGR;; 驗證)(A ; OICI ; GXGR;; BU)
回此頁最上方

Windows Vista 中的 DACL 設定

使用縮寫的下列表格來判斷存取控制項目結果 (ACE) 繼承。

存取控制的項目繼承縮寫
摺疊此表格展開此表格
縮寫描述
CI容器繼承。存取控制項目將繼承的目錄。
OI物件繼承。檔案,將可繼承的存取控制項目。
IO只會繼承。存取控制項目並不會套用到目前的檔案和目錄。
NP不會傳播繼承。
Windows XP %systemroot%目錄和資料磁碟機 DACL 設定

以下是預設 DACL 設定為 %systemroot%目錄和 Windows XP 中的資料磁碟機。
摺疊此表格展開此表格
使用者或群組存取控制項目存取控制的項目繼承
BUILTIN\Administrators完全控制(OI)(CI)
NT AUTHORITY\SYSTEM完全控制(OI)(CI)
建立者擁有者完全控制(OI)(CI)(IO)
BUILTIN\Users讀取(OI)(CI)
BUILTIN\Users特殊存取權: FILE_APPEND_DATA(CI)
BUILTIN\Users特殊存取權: FILE_WRITE_DATA(CI)(IO)
每一個人讀取
Windows Vista 資料磁碟機 DACL 設定

以下是新的 Windows Vista DACL 設定為使用 Format.exe 程式所建立的資料磁碟機。
摺疊此表格展開此表格
使用者或群組存取控制項目存取控制的項目繼承
BUILTIN\Administrators完全控制
BUILTIN\Administrators完全控制(OI)(CI)(IO)
NT AUTHORITY\SYSTEM完全控制
NT AUTHORITY\SYSTEM完全控制(OI)(CI)(IO)
NT AUTHORITY\Authenticated 使用者修改
NT AUTHORITY\Authenticated 使用者修改(OI)(CI)(IO)
BUILTIN\Users讀取及執行
BUILTIN\Users泛用讀取,泛用執行(OI)(CI)(IO)
Windows Vista %systemroot%目錄 DACL 設定
摺疊此表格展開此表格
使用者或群組存取控制項目存取控制的項目繼承
BUILTIN\Administrators完全控制
BUILTIN\Administrators完全控制(OI)(CI)(IO)
NT AUTHORITY\SYSTEM完全控制
NT AUTHORITY\SYSTEM完全控制(OI)(CI)(IO)
BUILTIN\Users讀取及執行(OI)(CI)
NT AUTHORITY\Authenticated 使用者修改(OI)(CI)(IO)
NT AUTHORITY\Authenticated 使用者附加資料
強制 Label\High 強制性層級沒有寫入(OI)(IO)(NP)
回此頁最上方

如何停用資料的磁碟機遷移,當您建置您的影像

在某些環境中,您可能不要轉換的資料磁碟機 ACL。 在其中可能不想要轉換的資料磁碟機的 ACL 的案例包括下列各項:
  • 如果您的資料磁碟機共用,而且您使用 [BUILTIN\Users ACL 來取得修改存取。
  • 如果您有許多的資料檔案和許多目錄在您的資料磁碟機上,而且沒有遭遇資料存取問題。

    附註在這種情況下變更 ACL 是不必要的並可能會大幅增加 Windows Vista 安裝時間。
附註 [Windows 自動安裝套件 (WAIK) 包含一組的部署工具。 有關如何使用部署工具的指引是從 Microsoft 下載中心 」 可用。WAIK 的適用對象是正在進行自動化的 Windows 部署企業客戶。如需有關 WAIK 的詳細資訊,請造訪下列網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c7d4bc6d-15f3-4284-9123-679830d629f2&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=c7d4bc6d-15f3-4284-9123-679830d629f2&DisplayLang=en)
若要停用資料的磁碟機移轉,請依照下列步驟執行。
  1. 建立要儲存 Windows 影像格式的目錄 (WIM) 檔案。比方說建立 C:\VistaRTM\WIM 目錄。
  2. 建立目錄,以儲存未壓縮的作業系統映像。比方說建立 C:\VistaRTM\OS 目錄。
  3. 將適用的 Install.wim 檔案複製到暫存 WIM 您在步驟 1 中建立的目錄。比方說在 Windows Vista 安裝媒體從 Install.wim 檔案複製的命令提示字元輸入下列命令:
    複製 e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. 影像篩選器驅動程式複製到 C:\VistaRTM\Driver 目錄 WAIK 部署工具。要這麼做,請您執行下列步驟:
    1. 按一下 [開始] [
      摺疊此圖像展開此圖像
      Start button
      ,在 [開始搜尋] 方塊中輸入 cmd]、 cmd.exe程式 清單上按一下滑鼠右鍵然後再按一下 [以系統管理員身分執行]。
      摺疊此圖像展開此圖像
      User Account Control permission
      如果出現要求您輸入系統管理員密碼或確認的提示,輸入該密碼,或按一下 [繼續]。
    2. 在命令提示字元下輸入下列命令。在每個命令之後按 ENTER。

      cd c:\VistaRTM\Driver\
      wimfltr.sys
  5. 在提高權限命令提示字元掛上適用.wim 影像]。比方說在命令提示字元中輸入下列命令:
    Imagex.exe /MountRW c:\VistaRTM\WIM\install.WIM 1 c:\VistaRTM\OS
    附註"1"是 Install.wim 檔案中的影像索引值。因為 Install.wim 檔案可以列出多個 Windows 版本影像,您就應該用以 imagex /info install.wim 命令 Install.wim 檔案中顯示所有 Windows 版本。當您識別出正確的索引的 Windows 版本時,使用該值搭配 / MountRW 命令。

    如需有關 ImageX 工具以及 WIM 的相關的詳細資訊,請造訪下列 Microsoft 網站]:
    http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx (http://technet.microsoft.com/en-us/windowsvista/aa905070.aspx)
  6. 編輯系統登錄 Hive,WIM 映像。 要這麼做,請您執行下列步驟。

    重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    322756? (http://support.microsoft.com/kb/322756/ ) 如何備份和還原在 Windows 登錄
    1. 按一下 [開始] [
      摺疊此圖像展開此圖像
      Start button
      ,在 開始搜尋] 方塊中輸入 regedit,然後按一下 [regedit 在 [程式集] 清單。
      摺疊此圖像展開此圖像
      User Account Control permission
      如果出現要求您輸入系統管理員密碼或確認的提示,輸入該密碼,或按一下 [繼續]。
    2. 在 [登錄編輯程式] 中,找出,然後按一下 [方式,並再按一下 [檔案] 功能表上的 [載入 Hive 控制檔
    3. 在 [載入 Hive 控制檔] 對話方塊在 Windows Vista 的目錄中選擇 系統 目錄,然後按一下 [開啟舊檔]。比方說選取 C:\VistaRTM\OS\Windows\System32\config\SYSTEM 目錄。
    4. 型別 TEMP_HKLM 在 [金鑰名稱] 方塊中以建立暫存的登錄區項目,然後按一下 [確定]
    5. 找出並點選下列登錄子機碼。
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. 在 [編輯] 功能表上指向 [新增],然後按一下 [DWORD 值]。
    7. 鍵入 DDACLSys_Disabled,並按下 ENTER。
    8. DDACLSys_Disabled,] 上按一下滑鼠右鍵,然後按一下 [修改]
    9. 數值資料] 方塊中鍵入 1,再按 [確定]
  7. 修改影像之後密封影像。如果要執行這項操作,請在命令提示字元中輸入下列命令:
    imagex.exe /UnMount /commit c:\VistaRTM\OS
  8. 藉由使用修改過的影像來取代 Install.wim 原始檔案。 如果要執行這項操作,請在命令提示字元中輸入下列命令:
    複製 C:\VistaRTM\OS\install.wim E:\sources\install.wim
回此頁最上方

如何定義一個受保護的磁碟機 DACL

限制為標準使用者的檔案及目錄建立

若要指定標準的使用者無法建立目錄或外自己的使用者設定檔的檔案,請在提高權限的命令提示字元執行下列命令:
cacls D:P(A;;0x1301bf;;;SY)(A;IOCIOI;GA;;;SY)(A;;0x1301bf;;;BA)(A;IOCIOI;GA;;;BA)(A;OICI;0x1200a9;;;BU)

讓標準使用者建立最上層的目錄

若要指定標準的使用者可以建立最上層的目錄和它們將會是目錄和所有子目錄的擁有者,請在命令提示字元執行下列命令:
D:P(A;;0x1301bf;;;SY)(A;IOCIOI;GA;;;SY)(A;;0x1301bf;;;BA)(A;IOCIOI;GA;;;BA)(A;OICI;0x1200a9;;;BU)(A;;LC;;;BU)(A;OICIIO;GA;;;CO) cacls
回此頁最上方

如何定義特定使用者的受保護的目錄

若要指定只有特定使用者可以存取檔案或外部使用者設定檔目錄,請依照下列步驟執行:
  1. 若要定義受保護的目錄,您必須先取得安全性識別碼 (SID) 目前已登入之使用者。若要取得 SID,請在命令提示字元執行下列命令:
    whoami/所有
  2. 您可以使用 Cacls.exe 命令列工具指定受保護的目錄。如果要執行這項操作,請在命令提示字元中輸入下列命令:
    Cacls Directory /S: D:PAI(A;OICI;GA;;;SID) (A;OICI;GA;;;SY)(A;OICI;GA;;;BA)
    附註Directory 代表您想要設定之目錄的目錄路徑。SID 代表使用者 ’s SID。
下列範例命令使用 PersonalSecureFolder 目錄。這個目錄位於 D:\ 目錄中。
  • 若要判斷 D:\PersonalSecureFolder 目錄的安全性存取,請在命令提示字元中輸入下列命令:
    icacls.exe PersonalSecureFolder
    此命令會產生下列輸出: 
    BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\Authenticated Users:(I)(M)
NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
  • 在 D:\PersonalSecureFolder 目錄中執行 cacls.exe 命令,請在命令提示字元中輸入下列命令:
    cacls D:\PersonalSecureFolder /S: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001)(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)
  • 若要判斷新 NTFS DACL D:\PersonalSecureFolder 目錄,請在命令提示字元中輸入下列命令:
    icacls.exe D:\PersonalSecureFolder
    此命令會產生下列輸出: 
    HomePC\Denise:(F)
HomePC\Denise:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Administrators:(F)
BUILTIN\Administrators:(OI)(CI)(IO)(F)
回此頁最上方
這篇文章中的資訊適用於:
  • Windows Vista 商用入門版
  • Windows Vista 商用進階版
  • Windows Vista 家用入門版
  • Windows Vista 家用進階版
  • Windows Vista 旗艦版
  • Windows Vista 商用入門 64 位元版
  • Windows Vista 商用進階 64 位元版
  • Windows Vista 家用入門 64 位元版
  • Windows Vista 家用進階 64 位元版
  • Windows Vista 旗艦 64 位元版
回此頁最上方
關鍵字:?
kbmt kbexpertiseinter kbinfo KB949608 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:949608? (http://support.microsoft.com/kb/949608/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。