تغيير إعدادات NTFS تقديرية الوصول إلى عنصر تحكم قائمة (DACL) في نظام التشغيل Windows Vista الافتراضية

مقدمة

في نظام التشغيل Windows Vista، تم تغيير نظام الملفات NTFS "تقديرية قوائم التحكم بالوصول" الاختيارية (DACLs) لتمكين تبادل البيانات والتعاون في دلائل البيانات الخارجية الدلائل محمية. دليل المستخدم المحمية هو التشكيل الجانبي للمستخدم. على سبيل المثال، افترض أن الدليل C:\Users\Denise\Pictures دليل محمية. دليل بيانات هو دليل الذي يتم إنشاؤه خارج بنية الدليل محمية. D:\Pictures هو دليل موجود خارج البنية محمية.

افترض أن عميرة بتسجيل الدخول إلى الكمبيوتر المستندة إلى نظام التشغيل Windows Vista الخاص بها وهي إنشاء دليل جديد على قرص ثابت خارجي لها (محرك الأقراص D). دينيس أسماء الدليل فاميليبيكتوريس. لاحقاً، ابن لدينيس، بريان دخوله إلى الكمبيوتر. براين بإنشاء دليل جديد يسمى سوميرفاكاتيونبيكس في الدليل فاميليبيكتوريس. ثم حفظ براين العديد من الصور في الدليل سوميرفاكاتيونبيكس. إذا تم تطبيق إعدادات Windows XP DACL على الدليل سوميرفاكاتيونبيكس، دينيس لا يمكن تحرير أي من الصور الموجودة في الدليل سوميرفاكاتيونبيكس. يحدث هذا السلوك لتمييز Dacl براين كالمستخدم الوحيد الذي يحتوي على أذونات كتابة. ومع ذلك، تم تغيير DACL السلوك الافتراضي في نظام التشغيل Windows Vista. لذلك، في نظام التشغيل Windows Vista، دينيس تنفيذ مهام الصور في الدليل سوميرفاكاتيونبيكس تحرير الصور.

مشاركة السماح للمستخدمين بتغيير DACL هذه وتحرير الملفات دون تحديد بيانات الاعتماد في مربع الحوار التحكم في حساب المستخدم . بالإضافة إلى ذلك، يستطيع المستخدمون يدوياً إجراء دليل خاص. هذه الميزة يضمن أن المستخدمين يمكن بسهولة الحفاظ على سرية البيانات وتكامل البيانات على محركات أقراص البيانات. الدلائل الخاصة تمكن مسؤول إذا تم منح المسؤول أذونات وضع مرتفعة. يجب استخدام ميزة "وضع مقيد" الاحتفاظ بالبيانات الخاصة من المستخدمين القياسيين. يتم تطبيق إعدادات Windows Vista DACL أثناء التثبيت، وتم ترحيلها إلى أي محرك أقراص تم اكتشافها يفي بأحد المعايير التالية:
  • لا يحتوي محرك الأقراص على نظام تشغيل Windows.
  • تتم تهيئة محرك الأقراص باستخدام إعدادات Windows XP DACL الافتراضية.

مزيد من المعلومات

أداة التحديثات

لقد تغيرت أدوات سطر الأوامر Convert.exe و Format.exe في نظام التشغيل Windows Vista لتضمين خيارات جديدة لإعدادات DACL الجديدة. ومع ذلك، لا يمكن تحويل هذه الأدوات إعدادات Windows XP DACL الموجودة لإعدادات Windows Vista DACL. لتغيير إعداد Windows XP DACL موجود إلى إعداد Windows Vista DACL، يجب استخدام أداة سطر الأوامر Cacls.exe في نظام التشغيل Windows Vista. على سبيل المثال، الأمر التالي بتحويل إعدادات Windows XP DACL الموجودة على محرك الأقراص D:\ البيانات لإعدادات Windows Vista DACL:

Cacls D:\/s:D: (A; هيئة الجمعية العامة؛؛؛ BA) (A; هيئة الجمعية العامة؛؛؛ SY) (A; هيئة؛ سدجكسجوجر؛؛؛ الاتحاد الأفريقي) (A; هيئة؛ جكسجر؛؛؛ بو)

إعدادات DACL في نظام التشغيل Windows Vista

استخدم الجدول التالي الاختصارات لتحديد نتائج إرث كائن عنصر تحكم الوصول.

اختصارات توريث إدخال تحكم الوصول
اختصارالوصف
CIترث الحاوية. سيتم توريث إدخال تحكم بالوصول بالدلائل.
منظمة أوكسفام الدوليةيرث الكائن. وراثة إدخال التحكم بالوصول من قبل الملفات.
إدخال/إخراجترث فقط. لا ينطبق إدخال التحكم بالوصول إلى الدليل والملف الحالي.
مرحلسيتم نشر التوريث.
Windows XP الدليل % systemroot % وبيانات DACL إعدادات محرك الأقراص

فيما يلي بعض الإعدادات الافتراضية DACL للدليل % systemroot % وبيانات محرك الأقراص في نظام التشغيل Windows XP.
المستخدم أو المجموعةإدخال التحكم بالوصولتوريث إدخال تحكم الوصول
BUILTIN\Administratorsالتحكم الكامل(منظمة أوكسفام الدولية) (CI)
يكون NT AUTHORITY\SYSTEMالتحكم الكامل(منظمة أوكسفام الدولية) (CI)
مالك منشئالتحكم الكامل(منظمة أوكسفام الدولية) (CI) (IO)
BUILTIN\Usersالقراءة(منظمة أوكسفام الدولية) (CI)
BUILTIN\Usersوصول خاص: FILE_APPEND_DATA(CI)
BUILTIN\Usersوصول خاص: FILE_WRITE_DATA(CI) (IO)
أي شخصالقراءة
إعدادات DACL محرك بيانات نظام التشغيل Windows Vista

فيما يلي بعض إعدادات Windows Vista DACL الجديدة لمحركات الأقراص التي تم إنشاؤها باستخدام برنامج Format.exe.
المستخدم أو المجموعةإدخال التحكم بالوصولتوريث إدخال تحكم الوصول
BUILTIN\Administratorsالتحكم الكامل
BUILTIN\Administratorsالتحكم الكامل(منظمة أوكسفام الدولية) (CI) (IO)
يكون NT AUTHORITY\SYSTEMالتحكم الكامل
يكون NT AUTHORITY\SYSTEMالتحكم الكامل(منظمة أوكسفام الدولية) (CI) (IO)
المستخدمون AUTHORITY\Authenticated NTتعديل
المستخدمون AUTHORITY\Authenticated NTتعديل(منظمة أوكسفام الدولية) (CI) (IO)
BUILTIN\Usersالقراءة والتنفيذ
BUILTIN\Usersقراءة عامة، تنفيذ عام(منظمة أوكسفام الدولية) (CI) (IO)
Windows Vista % systemroot % DACL إعدادات الدليل
المستخدم أو المجموعةإدخال التحكم بالوصولتوريث إدخال تحكم الوصول
BUILTIN\Administratorsالتحكم الكامل
BUILTIN\Administratorsالتحكم الكامل(منظمة أوكسفام الدولية) (CI) (IO)
يكون NT AUTHORITY\SYSTEMالتحكم الكامل
يكون NT AUTHORITY\SYSTEMالتحكم الكامل(منظمة أوكسفام الدولية) (CI) (IO)
BUILTIN\Usersالقراءة والتنفيذ(منظمة أوكسفام الدولية) (CI)
المستخدمون AUTHORITY\Authenticated NTتعديل(منظمة أوكسفام الدولية) (CI) (IO)
المستخدمون AUTHORITY\Authenticated NTإلحاق البيانات
المستوى الإلزامي Label\High الإلزاميةلا يوجد الكتابة(منظمة أوكسفام الدولية) (IO) (مرحل)

كيفية تعطيل ترحيل بيانات محرك الأقراص عند إنشاء الصورة

في بعض البيئات، قد لا تريد تحويل ACLs محركات أقراص البيانات. وحدات السيناريو التي قد لا تحتاج إلى تحويل قوائم Acl لمحرك الأقراص البيانات ما يلي:
  • تعديل مشاركة محرك الأقراص البيانات واستخدام قوائم Acl BUILTIN\Users للحصول على حق الوصول.
  • إذا كان لديك العديد من ملفات البيانات ودلائل متعددة على محرك أقراص البيانات، ولم تواجه مشاكل في الوصول إلى البيانات.

    ملاحظة: في هذا السيناريو، تغيير ACLs غير ضروري وقد يؤدي إلى زيادة وقت تثبيت نظام التشغيل Windows Vista.
ملاحظة: Windows المؤتمت تثبيت أدوات (WAIK) تحتوي على مجموعة من أدوات النشر. تتوفر إرشادات حول كيفية استخدام أدوات النشر من "مركز تحميل microsoft". ويستهدف WAIK عملاء الشركات الذين يقومون بنشر Windows التلقائية. لمزيد من المعلومات حول WAIK، قم بزيارة موقع ويب التالي:لتعطيل الترحيل محرك أقراص البيانات، اتبع هذه الخطوات.
  1. إنشاء دليل لتخزين ملف تنسيق صور Windows (WIM). على سبيل المثال، إنشاء دليل C:\VistaRTM\WIM.
  2. إنشاء دليل لتخزين صورة نظام التشغيل غير مضغوط. على سبيل المثال، إنشاء دليل C:\VistaRTM\OS.
  3. نسخ ملف Install.wim قابلة للتطبيق في الدليل المؤقت WIM الذي قمت بإنشائه في الخطوة 1. على سبيل المثال، اكتب الأمر التالي في موجه الأوامر لنسخ ملف Install.wim من وسائط تثبيت نظام التشغيل Windows Vista:
    نسخ e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. نسخ برنامج تشغيل عامل تصفية صور من أدوات النشر WAIK إلى الدليل C:\VistaRTM\Driver. للقيام بذلك، اتبع الخطوات التالية:
    1. انقر فوق ابدأ Start button ، نوع
      cmd في المربع بدء البحث ، انقر بالزر الأيمن cmd.exe في قائمة البرامج ، وثم انقر فوق تشغيل كمسؤول.
      User Account Control permission إذا تم مطالبتك بكلمة مرور مسؤول أو تأكيدها، اكتب كلمة المرور أو انقر فوق متابعة.
    2. في موجه الأوامر، اكتب الأوامر التالية. اضغط المفتاح ENTER بعد كل أمر.

      cd c:\VistaRTM\Driver\
      wimfltr.sys
  5. في موجه الأوامر النشط، بتحميل صورة قابلة للتطبيق (wim.). على سبيل المثال، اكتب الأمر التالي في موجه الأوامر:
    Imagex.exe/MountRW c:\VistaRTM\WIM\install. 1 ويم c:\VistaRTM\OS
    ملاحظة: "1" هي قيمة فهرس الصورة في الملف Install.wim. لسرد ملف Install.wim صور الإصدار Windows متعددة، يجب عليك استخدام
    الأمر imagex/info install.wim لعرض كافة إصدارات Windows في الملف Install.wim. عندما تقوم بتعريف الفهرس الصحيح لإصدار Windows، يتم استخدام هذه القيمة مع الأمر /MountRW .

    لمزيد من المعلومات حول الأداة ImageX ويم، قم بزيارة موقع Microsoft التالي على الويب:
  6. تحرير خلية النظام لصورة WIM. للقيام بذلك، اتبع الخطوات التالية:

    هام: يحتوي هذا المقطع أو الأسلوب أو المهمة على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. لذلك، تأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
    322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows
    1. انقر فوق ابدأStart button ، نوع
      regedit في بدء البحث مربع ومن ثم انقر فوق regedit في قائمة البرامج .
      User Account Control permission إذا تم مطالبتك بكلمة مرور مسؤول أو تأكيدها، اكتب كلمة المرور أو انقر فوق
      متابعة.
    2. في "محرر التسجيل"، حدد موقع وثم انقر فوق
      HKEY_LOCAL_MACHINE، ثم انقر فوق تحميل خلية في القائمة ملف .
    3. في مربع الحوار تحميل الخلية ، حدد دليل النظام في دليل نظام التشغيل Windows Vista، وثم انقر فوق
      فتح. على سبيل المثال، حدد
      دليل C:\VistaRTM\OS\Windows\System32\config\SYSTEM .
    4. نوع TEMP_HKLM في المربع اسم المفتاح لإنشاء خلية إدخال مؤقت ومن ثم انقر فوق موافق.
    5. حدد موقع ومن ثم انقر فوق مفتاح التسجيل الفرعي التالي.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. في القائمة تحرير ، أشر إلى
      جديد، ثم انقر فوق قيمة DWORD.
    7. اكتب DDACLSys_Disabledومن ثم اضغط ENTER.
    8. انقر نقراً مزدوجاً فوق DDACLSys_Disabled، ومن ثم انقر فوق
      تعديل.
    9. في المربع " بيانات القيمة "، اكتب
      1، ثم انقر فوق موافق.
  7. بعد تعديل الصورة، ختم الصورة. للقيام بذلك، اكتب الأمر التالي في موجه الأوامر:
    imagex.exe /UnMount /commit c:\VistaRTM\OS
  8. استبدال الملف Install.wim الأصلي باستخدام الصورة المعدلة. للقيام بذلك، اكتب الأمر التالي في موجه الأوامر:
    نسخ C:\VistaRTM\OS\install.wim E:\sources\install.wim

كيف يتم تعريف محرك أقراص محمي DACL

تقييد إنشاء الدلائل والملفات للمستخدمين القياسيين

لتعيين أنه لا يمكن إنشاء المستخدمين القياسيين الدلائل أو الملفات خارج ملفات تعريف المستخدم الخاصة بهم، بتشغيل الأمر التالي في موجه أوامر غير مقيد:
cacls D:P(A;;0 x1301bf؛؛؛ SY) (GA؛ A; إيوسيوي; SY) (A; 0 x1301bf؛؛؛ BA) (GA؛ A; إيوسيوي; BA) (هيئة A; 0X1200A9;; بو)

تمكين المستخدمين القياسيين لإنشاء مجلدات المستوى الأعلى

لتحديد المستخدمين القياسيين إنشاء الدلائل ذات المستوى الأعلى وأن مالكي دليل وكافة الدلائل الفرعية الخاصة به، بتشغيل الأمر التالي في موجه الأوامر:
cacls D:P(A;;0 x1301bf؛؛؛ SY) (GA؛ A; إيوسيوي; SY) (A; 0 x1301bf؛؛؛ BA) (GA؛ A; إيوسيوي; BA) (هيئة A; 0X1200A9;; بو) (A; خطاب الاعتماد؛؛؛ بو) (GA؛ A; أويسييو; ثاني أكسيد الكربون)

كيف يتم تعريف دليل محمية لمستخدم معين

لتحديد مستخدم معين يمكن الوصول إلى ملف أو دليل خارج التشكيل الجانبي للمستخدم، اتبع الخطوات التالية:
  1. لتحديد دليل محمية، يجب أولاً الحصول على معرف الأمان (SID) للمستخدم الذي قام بتسجيل الدخول. للحصول على معرف الأمان، بتشغيل الأمر التالي في موجه الأوامر:
    whoami/كافة
  2. استخدم أداة سطر الأمر Cacls.exe لتحديد دليل محمية. للقيام بذلك، اكتب الأمر التالي في موجه الأوامر:
    Cacls الدليل /s: D:PAI(A;OICI;GA;;; معرف الأمان) (هيئة A; GA؛؛؛ SY) (A; هيئة الجمعية العامة؛؛؛ BA)
    ملاحظة: دليل يمثل مسار الدليل الدليل الذي تريد تكوينه. معرف الأمان
    يمثل معرف الأمان الخاص بالمستخدم.
استخدام نماذج الأوامر التالية دليل بيرسونالسيكوريفولدير. هذا الدليل الموجود في الدليل D:\.
  • لتحديد أمان الوصول إلى الدليل D:\PersonalSecureFolder، اكتب الأمر التالي في موجه الأوامر:
    icacls.exe بيرسونالسيكوريفولدير
    يقوم الأمر بإرجاع الإخراج التالي:
    BUILTIN\Administrators:(I)(F)BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)

  • لتشغيل الأمر cacls.exe في الدليل D:\PersonalSecureFolder، اكتب الأمر التالي في موجه الأوامر:
    cacls D:PAI(A;OICI;GA;;;/s: D:\PersonalSecureFolder S-1-5-21-2840286564-3180458239-1922922813-1001) (A; هيئة الجمعية العامة؛؛؛ SY) (A; هيئة الجمعية العامة؛؛؛ BA)
  • لتحديد DACL NTFS جديد للدليل D:\PersonalSecureFolder، اكتب الأمر التالي في موجه الأوامر:
    icacls.exe D:\PersonalSecureFolder
    يقوم الأمر بإرجاع الإخراج التالي:
    HomePC\Denise:(F)HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)

خصائص

رقم الموضوع: 949608 - آخر مراجعة: 14‏/01‏/2017 - المراجعة: 2

تعليقات