Cambios en el valor predeterminado la configuración de la lista de Control de acceso discrecional de NTFS (DACL) en Windows Vista

INTRODUCCIÓN

En Windows Vista, el sistema de archivos NTFS, listas de Control de acceso discrecional (DACL) se han cambiado para permitir la colaboración en los directorios de datos que son directorios protegidos exterior y el uso compartido de datos. Directorio protegido de un usuario es el perfil del usuario. Por ejemplo, supongamos que el directorio de C:\Users\Denise\Pictures es un directorio protegido. Un directorio de datos es un directorio que se crea fuera de esta estructura de directorios protegidos. D:\Pictures es un directorio que esté fuera de la estructura protegida.

Supongamos que Denise Smith inicia sesión en su equipo basado en Windows Vista y que crea un nuevo directorio en su disco duro externo (unidad D). Denise los nombres del directorio FamilyPictures. Más adelante, hijo de Denise, Brian, inicie sesión en el equipo. Brian crea un nuevo directorio denominado SummerVacationPics en el directorio FamilyPictures. A continuación, Brian guarda varias imágenes en el directorio SummerVacationPics. Si se aplica la configuración de DACL de Windows XP en el directorio SummerVacationPics, Juana no puede editar cualquiera de las imágenes en el directorio SummerVacationPics. Este comportamiento se produce porque las DACL marcan a Brian como el único usuario que tiene permisos de escritura. Sin embargo, comportamiento DACL predeterminado se cambió en Windows Vista. Por lo tanto, en Windows Vista, Juana puede realizar tareas en las imágenes en el directorio SummerVacationPics de edición fotográfica.

Estos DACL cambia permiten a los usuarios compartir y editar los archivos sin especificar las credenciales en el cuadro de diálogo Control de cuentas de usuario . Además, los usuarios pueden realizar manualmente un directorio privado. Esta característica garantiza que los usuarios pueden mantener fácilmente confidencialidad e integridad de datos en unidades de datos. Directorios privados son legibles por un administrador si el administrador tiene concedido permisos de modo elevado. La función "modo elevado" debe utilizarse para mantener la privacidad de datos de los usuarios estándar. La configuración de DACL de Windows Vista se aplica durante la instalación, y se migran a cualquier unidad detectada que cumple uno de los siguientes criterios:
  • La unidad no contiene un sistema operativo Windows.
  • La unidad está formateada usando la configuración de DACL de Windows XP.

Más información

Actualizaciones de herramientas

Las herramientas de línea de comandos Convert.exe y Format.exe han cambiado en Windows Vista para incluir nuevas opciones para la nueva configuración de DACL. Sin embargo, estas herramientas no pueden convertir a la configuración de DACL de Windows XP existente a la configuración de DACL de Windows Vista. Para cambiar una configuración de DACL de Windows XP existente a una configuración de DACL de Windows Vista, debe utilizar la herramienta de línea de comandos de Cacls.exe en Windows Vista. Por ejemplo, el siguiente comando convierte la configuración de DACL de Windows XP existente en la unidad de datos D:\ configuración de DACL de Windows Vista:

Cacls D:\/s: d: (A; OICI; GA;; BA) (A; OICI; GA;; SY) (A; OICI; SDGXGWGR;; AU) (A; OICI; GXGR;; BU)

Configuración de DACL en Windows Vista

Utilice la siguiente tabla de abreviaturas para determinar los resultados de la herencia de entrada (ACE) de control de acceso.

Abreviaturas de herencia de entrada de control de acceso
Abreviatura deDescripción
CIHerencia de contenedor. La entrada de control de acceso se heredará por directorios.
OISe hereda el objeto. La entrada de control de acceso se heredará por archivos.
IOSólo heredar. No se aplica la entrada de control de acceso para el archivo actual y el directorio.
NPLa herencia no se propagará.
Configuración de DACL de unidad de datos y el directorio de % systemroot % de Windows XP

Los siguientes son la configuración de DACL predeterminada para el directorio % systemroot % y la unidad de datos en Windows XP.
Usuario o grupoEntrada de control de accesoHerencia de entrada de control de acceso
BUILTIN\AdministratorsControl total(IO) (CI)
NT AUTHORITY\SYSTEMControl total(IO) (CI)
CREATOR OWNERControl total(IO) (CI) (IO)
BUILTIN\UsersLectura(IO) (CI)
BUILTIN\UsersAcceso especial: FILE_APPEND_DATA(CI)
BUILTIN\UsersAcceso especial: FILE_WRITE_DATA(CI) (IO)
Todo el mundoLectura
Configuración de DACL de unidad de datos de Windows Vista

Los siguientes son la nueva configuración de DACL de Windows Vista para unidades de datos que se crean mediante el programa Format.exe.
Usuario o grupoEntrada de control de accesoHerencia de entrada de control de acceso
BUILTIN\AdministratorsControl total
BUILTIN\AdministratorsControl total(IO) (CI) (IO)
NT AUTHORITY\SYSTEMControl total
NT AUTHORITY\SYSTEMControl total(IO) (CI) (IO)
NT AUTHORITY\Authenticated UsersModificar
NT AUTHORITY\Authenticated UsersModificar(IO) (CI) (IO)
BUILTIN\UsersLectura y ejecución
BUILTIN\UsersGenérico de lectura, ejecución genérica(IO) (CI) (IO)
Configuración de DACL de Windows Vista % systemroot % directory
Usuario o grupoEntrada de control de accesoHerencia de entrada de control de acceso
BUILTIN\AdministratorsControl total
BUILTIN\AdministratorsControl total(IO) (CI) (IO)
NT AUTHORITY\SYSTEMControl total
NT AUTHORITY\SYSTEMControl total(IO) (CI) (IO)
BUILTIN\UsersLectura y ejecución(IO) (CI)
NT AUTHORITY\Authenticated UsersModificar(IO) (CI) (IO)
NT AUTHORITY\Authenticated UsersAnexar datos
Nivel obligatorio de Label\High obligatorioNinguna escritura(IO) (IO) (NP)

Cómo deshabilitar la migración de la unidad de datos cuando se genera la imagen

En algunos entornos, puede no desea convertir las ACL de las unidades de datos. Escenarios en los que no desea convertir las ACL de la unidad de datos son los siguientes:
  • Si se comparte la unidad de datos y si utiliza las ACL BUILTIN\Users para tener acceso de modificación.
  • Si tienes muchos archivos de datos y muchos directorios en la unidad de datos y no experimenta problemas de acceso a datos.

    Nota: En este escenario, el cambio de las ACL es innecesario y puede aumentar considerablemente el tiempo de instalación de Windows Vista.
Nota: El Kit de instalación automatizada de Windows (WAIK) contiene un conjunto de herramientas de implementación. Orientación sobre cómo utilizar las herramientas de implementación está disponible desde Microsoft Download Center. WAIK está dirigido a clientes corporativos que están haciendo la implementación automatizada de Windows. Para obtener más información acerca de WAIK, visite el siguiente sitio Web:Para deshabilitar la migración de la unidad de datos, siga estos pasos.
  1. Cree un directorio para almacenar el archivo de formato Windows Imaging (WIM). Por ejemplo, cree un directorio de C:\VistaRTM\WIM.
  2. Cree un directorio para almacenar la imagen del sistema operativo sin comprimir. Por ejemplo, cree un directorio de C:\VistaRTM\OS.
  3. Copie el archivo Install.wim aplicable en el directorio temporal de WIM que creó en el paso 1. Por ejemplo, escriba el comando siguiente en un símbolo del sistema para copiar el archivo Install.wim desde los medios de instalación de Windows Vista:
    Copy e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. Copie el controlador de filtro de imagen de las herramientas de implementación de WAIK en el directorio C:\VistaRTM\Driver. Para ello, siga estos pasos:
    1. Haga clic en Inicio Start button , tipo
      cmd en el cuadro Iniciar búsqueda , haga clic en cmd.exe en la lista programas y, a continuación, haga clic en Ejecutar como administrador.
      User Account Control permission Si se le pide una contraseña de administrador o una confirmación, escriba la contraseña o haga clic en Continuar.
    2. En el símbolo del sistema, escriba los siguientes comandos. Presione ENTRAR después de cada comando.

      cd c:\VistaRTM\Driver\
      wimfltr.sys
  5. En el símbolo del sistema con privilegios elevados, monte la imagen .wim aplicable. Por ejemplo, escriba el comando siguiente en el símbolo del sistema:
    ImageX.exe /MountRW c:\VistaRTM\WIM\install. 1 de WIM c:\VistaRTM\OS
    Nota: "1" es el valor del índice de imagen en el archivo Install.wim. Puesto que el archivo Install.wim puede mostrar varias imágenes de la edición de Windows, debe utilizar el
    comando ImageX /info install.wim para mostrar todas las ediciones de Windows en el archivo Install.wim. Cuando haya identificado el índice correcto para la edición de Windows, utilice ese valor junto con el comando/mountrw .

    Para obtener más información acerca de la herramienta ImageX y WIM, visite el siguiente sitio Web de Microsoft:
  6. Edite el subárbol del registro del sistema para la imagen WIM. Para ello, siga estos pasos:

    Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    322756 cómo hacer copia de seguridad y restaurar el registro en Windows
    1. Haga clic en InicioStart button , tipo
      regedit en el Iniciar búsqueda cuadro y, a continuación, haga clic en regedit en la lista de programas .
      User Account Control permission Si se le pide una contraseña de administrador o una confirmación, escriba la contraseña o haga clic en
      Continuar.
    2. En el Editor del registro, busque y, a continuación, haga clic en
      HKEY_LOCAL_MACHINEy, a continuación, haga clic en Cargar subárbol en el menú archivo .
    3. En el cuadro de diálogo Cargar sección , seleccione el directorio del sistema en el directorio de Windows Vista y, a continuación, haga clic en
      Abierto. Por ejemplo, seleccione la
      Directorio de C:\VistaRTM\OS\Windows\System32\config\SYSTEM .
    4. Tipo de TEMP_HKLM en el cuadro Nombre de clave para crear una entrada de SUBÁRBOL temporal y, a continuación, haga clic en Aceptar.
    5. Busque y, a continuación, haga clic en la siguiente subclave del registro.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. En el menú Edición , elija
      De nuevoy, a continuación, haga clic en Valor DWORD.
    7. Escriba DDACLSys_Disabledy, a continuación, presione ENTRAR.
    8. Haga clic en DDACLSys_Disabledy, a continuación, haga clic en
      Modificar.
    9. En el cuadro información del valor , escriba
      1y, a continuación, haga clic en Aceptar.
  7. Después de modificar la imagen, la imagen del sello. Para ello, escriba el comando siguiente en un símbolo del sistema:
    imagex.exe /UnMount /commit c:\VistaRTM\OS
  8. Reemplace el archivo Install.wim original con la imagen modificada. Para ello, escriba el comando siguiente en un símbolo del sistema:
    Copiar C:\VistaRTM\OS\install.wim E:\sources\install.wim

Cómo definir una unidad de disco protegida DACL

Restringir la creación de archivos y directorios para los usuarios estándar

Para especificar que los usuarios estándares no pueden crear directorios o archivos fuera de sus perfiles de usuario, ejecute el comando siguiente en un símbolo del sistema con privilegios elevados:
cacls D:P(A;;0 x1301bf;; SY) (A; IOCIOI; GA;; SY) (A; 0 x1301bf;; BA) (A; IOCIOI; GA;; BA) (A; OICI; 0X1200A9;; BU)

Permitir que los usuarios estándares crear directorios de nivel superior

Para especificar que los usuarios estándar pueden crear directorios de nivel superior y que van a ser los propietarios de un directorio y todos sus subdirectorios, ejecute el comando siguiente en un símbolo del sistema:
cacls D:P(A;;0 x1301bf;; SY) (A; IOCIOI; GA;; SY) (A; 0 x1301bf;; BA) (A; IOCIOI; GA;; BA) (A; OICI; 0X1200A9;; BU) (A; LC;; BU) (A; OICIIO; GA;; CO)

Cómo definir un directorio protegido para un usuario específico

Para especificar que sólo un usuario específico puede tener acceso a un archivo o un directorio fuera del perfil de usuario, siga estos pasos:
  1. Para definir un directorio protegido, primero debe obtener el identificador de seguridad (SID) del usuario que ha iniciado sesión. Para obtener al SID, ejecute el comando siguiente en un símbolo del sistema:
    whoami /all
  2. Utilice la herramienta de línea de comandos de Cacls.exe para especificar un directorio protegido. Para ello, escriba el comando siguiente en un símbolo del sistema:
    Cacls directorio/s: D:PAI(A;OICI;GA;;; SID) (A; OICI; GA;; SY) (A; OICI; GA;; BA)
    Nota: Directorio representa la ruta del directorio del directorio que desea configurar. SID
    representa al SID del usuario.
Los comandos de ejemplo siguientes utilizan el directorio de PersonalSecureFolder. Este directorio se encuentra en el directorio D:\.
  • Para determinar el acceso de seguridad del directorio D:\PersonalSecureFolder, escriba el comando siguiente en un símbolo del sistema:
    icacls.exe PersonalSecureFolder
    El comando genera el siguiente resultado:
    BUILTIN\Administrators:(I)(F)BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)

  • Para ejecutar el comando cacls.exe en el directorio D:\PersonalSecureFolder, escriba el comando siguiente en un símbolo del sistema:
    cacls D:\PersonalSecureFolder/s: D:PAI(A;OICI;GA;;; S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI; GA;; SY) (A; OICI; GA;; BA)
  • Para determinar el nuevo NTFS DACL para el directorio D:\PersonalSecureFolder, escriba el comando siguiente en un símbolo del sistema:
    icacls.exe D:\PersonalSecureFolder
    El comando genera el siguiente resultado:
    HomePC\Denise:(F)HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)

Propiedades

Id. de artículo: 949608 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios