Geändert auf die NTFS-Discretionary Access Control (DACL List) in Windows Vista

Einführung

In Windows Vista wurde das NTFS-Dateisystem Discretionary Access Control Lists (DACLs) zum Datenaustausch und Zusammenarbeit im äußeren geschützten Verzeichnisse Datenverzeichnisse geändert. Geschütztes Verzeichnis des Benutzers wird das Profil des Benutzers. Nehmen wir beispielsweise an, dass das C:\Users\Denise\Pictures einer geschützten Verzeichnis ist. Ein Datenverzeichnis ist ein Verzeichnis außerhalb dieser geschützten Verzeichnisstruktur erstellt wird. D:\Pictures ist ein Verzeichnis außerhalb der geschützten Struktur.

Angenommen Sie, Denise Smith ihre Windows Vista-basierten Computer anmeldet und sie ein neues Verzeichnis auf ihrer Festplatte (Laufwerk D) erstellt. Denise benennt das Verzeichnis FamilyPictures. Später Denise Sohn, Brian, dem Computer anmeldet. Brian erstellt ein neues Verzeichnis mit dem Namen SummerVacationPics im Verzeichnis FamilyPictures. Brian speichert dann mehrere Bilder im Verzeichnis SummerVacationPics. Wenn Windows XP DACL Einstellungen in das Verzeichnis SummerVacationPics angewendet werden, kann keine Denise Bilder im Verzeichnis SummerVacationPics bearbeiten. Dieses Verhalten tritt auf, weil die DACLs Brian als einziges markieren Schreibberechtigung hat. Allerdings wurde DACL Standardverhalten in Windows Vista geändert. Daher kann in Windows Vista Denise Foto Bearbeiten der Bilder im Verzeichnis SummerVacationPics ausführen.

Diese DACL ändert Benutzer freigeben und bearbeiten, ohne die Anmeldeinformationen im Dialogfeld Der Benutzerkontensteuerung . Darüber hinaus können Benutzer manuell ein Verzeichnis private stellen. Dieses Feature wird sichergestellt, dass Benutzer problemlos Datenschutz und Datenintegrität für Datenlaufwerke verwalten können. Private Verzeichnisse werden von Administrator gelesen, wenn der Administrator Evaluierungsmodus Berechtigungen gewährt wurden. Die "erweiterten" Modus sollte verwendet werden, Daten von Standardbenutzern geheim bleiben. Windows Vista DACL Einstellungen während der Installation angewendet werden, und auf alle erkannten Laufwerk, das die folgenden Kriterien erfüllt migriert:
  • Das Laufwerk enthält keine Windows-Betriebssystems.
  • Das Laufwerk ist mit Windows XP DACL Standardeinstellungen formatiert.

Weitere Informationen

Tool-updates

Die Befehlszeilenprogramme Convert.exe und Format.exe wurden in Windows Vista neue Optionen für die neue Einstellung DACL geändert. Diese Tools können nicht jedoch Windows XP DACL Einstellungen auf den Windows Vista DACL konvertieren. Um eine vorhandene Windows XP DACL auf Windows Vista DACL-Einstellung ändern, müssen Sie das Befehlszeilentool Cacls.exe in Windows Vista verwenden. Der folgende Befehl wird Windows XP DACL Einstellungen auf dem D:\ in Windows Vista DACL Einstellungen konvertiert:

Cacls D:\ /s:D: (A; OICI; GA; BA) (A; OICI; GA; SY) (A; OICI; SDGXGWGR;; AU) (A; OICI; GXGR;; BU)

DACL-Einstellung in Windows Vista

Verwenden Sie folgende Tabelle Abkürzung der Ergebnisse der Vererbung von Access Control Entry (ACE).

Access Control Eintrag Vererbung Abkürzung
AbkürzungBeschreibung
CIContainer erben. Der Eintrag wird von Verzeichnissen geerbt.
OIErbt. Der Eintrag wird von Dateien geerbt.
E/ANur erben. Der ACE gilt nicht für die aktuelle Datei und Verzeichnis.
NPVererbung wird nicht übertragen.
Windows XP Verzeichnis %SystemRoot% und Daten DACL Einstellungen Laufwerk

Es folgen die Standardeinstellungen DACL für das Verzeichnis % Systemroot % und für das Datenlaufwerk in Windows XP.
Benutzer oder GruppeZugriffssteuerungseintragVererbung von Access Control Eintrag
BUILTIN\AdministratorsVollzugriff(OI) (CI)
NT-AUTORITÄT\SYSTEMVollzugriff(OI) (CI)
ERSTELLER-BESITZERVollzugriff(OI) (CI) (IO)
BUILTIN\UsersLesen(OI) (CI)
BUILTIN\UsersBeschränkter Zugriff: FILE_APPEND_DATA(CI)
BUILTIN\UsersBeschränkter Zugriff: FILE_WRITE_DATA(CI) (IO)
AlleLesen
Windows Vista Daten Laufwerk DACL settings

Die folgenden werden neue Windows Vista DACL für Datenlaufwerke, die mit Format.exe erstellt.
Benutzer oder GruppeZugriffssteuerungseintragVererbung von Access Control Eintrag
BUILTIN\AdministratorsVollzugriff
BUILTIN\AdministratorsVollzugriff(OI) (CI) (IO)
NT-AUTORITÄT\SYSTEMVollzugriff
NT-AUTORITÄT\SYSTEMVollzugriff(OI) (CI) (IO)
NT-AUTORITÄT\Authentifizierte BenutzerÄndern
NT-AUTORITÄT\Authentifizierte BenutzerÄndern(OI) (CI) (IO)
BUILTIN\UsersLesen und ausführen
BUILTIN\UsersGenerische Lesen allgemeiner Ausführungszugriff(OI) (CI) (IO)
Windows Vista % Systemroot % Verzeichnis DACL settings
Benutzer oder GruppeZugriffssteuerungseintragVererbung von Access Control Eintrag
BUILTIN\AdministratorsVollzugriff
BUILTIN\AdministratorsVollzugriff(OI) (CI) (IO)
NT-AUTORITÄT\SYSTEMVollzugriff
NT-AUTORITÄT\SYSTEMVollzugriff(OI) (CI) (IO)
BUILTIN\UsersLesen und ausführen(OI) (CI)
NT-AUTORITÄT\Authentifizierte BenutzerÄndern(OI) (CI) (IO)
NT-AUTORITÄT\Authentifizierte BenutzerDaten anhängen
Obligatorische Label\High obligatorische StufeKein Schreibzugriff(OI) (IO) (NP)

Datenmigration Laufwerk deaktivieren, wenn Sie das Bild erstellen

In einigen Umgebungen sollten Sie nicht die ACLs Datenlaufwerke konvertieren. Folgende: Szenarien, in dem Sie nicht die ACLs der Festplatte Daten konvertieren
  • Ändern Sie Wenn Datenlaufwerk freigegeben ist und Sie BUILTIN\Users ACLs zu Zugriff.
  • Wenn Sie viele Dateien und viele Verzeichnisse auf Datenlaufwerk, und Sie keine mit Data Access Probleme.

    Hinweis In diesem Szenario Ändern der ACLs ist unnötig und möglicherweise deutlich Installationszeit für Windows Vista.
Hinweis Windows Automated Installation Kit (WAIK) enthält eine Reihe von Bereitstellungstools. Anleitung zur Verwendung der Bereitstellungstools steht im Microsoft Download Center zur Verfügung. WAIK zielt auf Unternehmen, die automatisierte Bereitstellung von Windows. Weitere Informationen WAIK finden Sie auf der folgenden Website:Gehen Sie folgendermaßen vor, um Laufwerk Datenmigration zu deaktivieren.
  1. Erstellen Sie ein Verzeichnis zum Speichern der Datei Windows Imaging Format (WIM). Erstellen Sie z. B. ein Verzeichnis C:\VistaRTM\WIM.
  2. Erstellen Sie ein Verzeichnis zum Speichern des nicht komprimierten Betriebssystemabbild. Erstellen Sie z. B. ein Verzeichnis C:\VistaRTM\OS.
  3. Kopieren Sie die entsprechende Datei Install.wim in das temporäre Verzeichnis WIM-Datei, das Sie in Schritt 1 erstellt. Beispielsweise den folgenden Befehl an der Befehlszeile die Datei Install.wim vom Windows Vista-Installationsmedium kopieren:
    Kopieren von e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. Kopieren Sie Bild-Filtertreiber WAIK-Bereitstellungstools in das Verzeichnis C:\VistaRTM\Driver Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start Start button , Typ
      Cmd in das Feld Suche starten Maustaste auf cmd.exe in der Liste Programme und klicken Sie dann auf als Administrator ausführen.
      User Account Control permission Wenn Sie aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort ein, oder klicken Sie auf Weiter.
    2. Geben Sie die folgenden Befehle in der Befehlszeile. Drücken Sie nach jedem Befehl die EINGABETASTE.

      cd c:\VistaRTM\Driver\
      wimfltr.sys
  5. Bereitstellen Sie in der Befehlszeile mit erhöhten Rechten geltenden WIM-Abbild. Beispielsweise den folgenden Befehl in die Befehlszeile eingeben:
    ImageX.exe/mountrw c:\VistaRTM\WIM\install. WIM-1 c:\VistaRTM\OS
    Hinweis "1" ist der Wert der Index des Bildes in der Datei Install.wim. Da die Install.wim-Datei mehrere Windows-Abbilder Edition kann, verwenden Sie die
    ImageX/info install.wim Befehl, alle Windows-Versionen in der Install.wim-Datei anzuzeigen. Wenn Sie den korrekten Index für die Windows-Edition identifiziert haben, verwenden Sie diesen Wert zusammen mit/mountrw -Befehl.

    Weitere Informationen über das Tool ImageX und WIM finden Sie auf der folgenden Microsoft-Website:
  6. Bearbeiten Sie die Systemregistrierungsstruktur WIM-Abbild. Gehen Sie hierzu folgendermaßen vor:

    Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    322756 zum Sichern und Wiederherstellen der Registrierung in Windows
    1. Klicken Sie auf StartStart button , Typ
      Suche starten Regedit ein, und klicken Sie dann auf Regedit in der Programmliste .
      User Account Control permission Wenn Sie ein Administratorkennwort oder eine Bestätigung aufgefordert werden, geben Sie das Kennwort ein, oder klicken Sie auf
      Fortfahren.
    2. Suchen Sie im Registrierungseditor und klicken Sie dann auf
      HKEY_LOCAL_MACHINE, und klicken Sie dann im Menü Datei auf Struktur laden .
    3. Klicken Sie im Dialogfeld Struktur laden wählen Sie das Verzeichnis im Verzeichnis Windows Vista aus und dann auf
      Wird geöffnet. Wählen Sie z. B. die
      C:\VistaRTM\OS\Windows\System32\config\SYSTEM Verzeichnis.
    4. Geben Sie TEMP_HKLM in das Feld Schlüsselname temporären Struktur Eintrag erstellen und klicken Sie dann auf OK.
    5. Suchen Sie und klicken Sie auf den folgenden Registrierungsunterschlüssel.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. Zeigen Sie im Menü Bearbeiten auf
      Neu, und klicken Sie dann auf DWORD-Wert.
    7. Geben Sie DDACLSys_Disabledund drücken Sie dann die EINGABETASTE.
    8. Maustaste auf DDACLSys_Disabled, und klicken Sie dann auf
      Ändern.
    9. Geben Sie im Feld Wert
      1, und klicken Sie dann auf OK.
  7. Nachdem Sie das Bild ändern, versiegeln Sie das Abbild. Hierzu geben Sie folgenden Befehl ein:
    imagex.exe /UnMount /commit c:\VistaRTM\OS
  8. Ersetzen Sie die ursprüngliche Datei Install.wim durch das geänderte Abbild. Hierzu geben Sie folgenden Befehl ein:
    Kopieren von C:\VistaRTM\OS\install.wim E:\sources\install.wim

Ein geschütztes Laufwerk DACL definieren

Erstellung von Datei- und Verzeichnisnamen für Standardbenutzer einschränken

Um anzugeben, dass Standardbenutzer Verzeichnisse oder Dateien außerhalb ihrer Benutzerprofile erstellen können, führen Sie den folgenden Befehl in ein Eingabeaufforderungsfenster mit erhöhten Rechten:
Cacls D:P(A;;0 x1301bf;; SY) (A; IOCIOI; GA; SY) (A; 0 x1301bf;; BA) (A; IOCIOI; GA; BA) (A; OICI; 0X1200A9; BU)

Standardmäßige Benutzer Verzeichnisse der obersten Ebene erstellen

Um festzulegen, dass Standardbenutzer Verzeichnisse der obersten Ebene erstellen können sie den Besitzer eines Verzeichnisses und seiner Unterverzeichnisse werden, führen Sie den folgenden Befehl ein:
Cacls D:P(A;;0 x1301bf;; SY) (A; IOCIOI; GA; SY) (A; 0 x1301bf;; BA) (A; IOCIOI; GA; BA) (A; OICI; 0X1200A9; BU) (A; LC;; BU) (A; OICIIO; GA; CO)

Wie ein geschütztes Verzeichnis für einen bestimmten Benutzer

Gehen Sie folgendermaßen vor, um anzugeben, dass nur bestimmter Benutzer eine Datei oder ein Verzeichnis außerhalb des Benutzerprofils zugreifen kann:
  1. Definieren Sie ein geschütztes Verzeichnis benötigen Sie zunächst die Sicherheits-ID (SID) des Benutzers derzeit angemeldeten. Um die SID zu erhalten, führen Sie den folgenden Befehl ein:
    Whoami/all
  2. Mithilfe des Befehlszeilenprogramms Cacls.exe geschütztes Verzeichnis an. Hierzu geben Sie folgenden Befehl ein:
    Cacls Verzeichnis/s: D:PAI(A;OICI;GA;;; SID) (A; OICI; GA; SY) (A; OICI; GA; BA)
    Hinweis Verzeichnis repräsentiert den Verzeichnispfad des Verzeichnisses, das Sie konfigurieren möchten. SID
    die SID des Benutzers darstellt.
Die folgenden Beispielbefehle verwenden das PersonalSecureFolder-Verzeichnis. Dieses Verzeichnis befindet sich im Verzeichnis D:\.
  • Um den Sicherheitszugriff des Verzeichnisses D:\PersonalSecureFolder zu ermitteln, geben Sie folgenden Befehl ein:
    Icacls.exe PersonalSecureFolder
    Der Befehl erzeugt die folgende Ausgabe:
    BUILTIN\Administrators:(I)(F)BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)

  • Führen Sie den Befehl cacls.exe im Verzeichnis D:\PersonalSecureFolder Geben Sie folgenden Befehl ein:
    Cacls D:\PersonalSecureFolder/s: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI; GA; SY) (A; OICI; GA; BA)
  • Um neue NTFS DACL für das Verzeichnis D:\PersonalSecureFolder zu ermitteln, geben Sie folgenden Befehl ein:
    icacls.exe D:\PersonalSecureFolder
    Der Befehl erzeugt die folgende Ausgabe:
    HomePC\Denise:(F)HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)

Eigenschaften

Artikelnummer: 949608 – Letzte Überarbeitung: 14.01.2017 – Revision: 1

Feedback