Falta entradas en su descriptor de seguridad, lo que puede provocar algunos errores de aplicación en la versión inglesa de Ultimate de Windows 7 Release Candidate 32 bits de una carpeta que se crea en la raíz de la unidad del sistema

Síntomas

En la versión inglesa de Ultimate de 32 bits de Windows 7 Release Candidate (compilación 7100), falta la carpeta que se crea como la carpeta raíz de la unidad del sistema (% SystemDrive %) entradas en su descriptor de seguridad. Un efecto de este problema es que los usuarios estándar como no administradores no pueden realizar todas las operaciones a las subcarpetas que se crean directamente bajo la raíz. Por lo tanto, las aplicaciones que hacen referencia a carpetas bajo la raíz no se instalen correctamente o no pueden desinstalar correctamente. Además, las operaciones o aplicaciones que hacen referencia a estas carpetas pueden fallar.

Por ejemplo, si se crea una carpeta bajo la raíz de la unidad del sistema desde un símbolo del sistema con privilegios elevados, esta carpeta no heredarán correctamente los permisos desde la raíz de la unidad. Por lo tanto, algunas operaciones específicas, como la eliminación de la carpeta, se producirá un error cuando se realizan desde un símbolo no elevados. Además, aparece el siguiente mensaje de error cuando se produce un error en la operación:
Acceso denegado.
Además, las entradas de descriptor de seguridad que faltan protegen operaciones de archivo que no sea administrador directamente bajo la raíz.

Causa

Este problema se produce porque la versión en inglés de Windows 7 Release Candidate 32 bits Ultimate incorrectamente establece acceso a listas de control (ACL) en la raíz.

Solución

Para aquellos clientes que se ven afectados por este problema, la solución está disponible a través de Windows Update:

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.

Requisitos previos

Ultimate de Windows 7 Release Candidate 32 bits instalado para poder aplicar este hotfix debe tener.

Requisito de reinicio

No es necesario que reinicie el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Esta revisión no sustituye a ninguna revisión publicada previamente.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Cleanwin7rcroot.exe6.1.7100.1515,94404-May-200906:33x86
La revisión se libera a través de Windows Update.

El paquete de hotfix

  • El problema sólo existe en x86 las versiones de Windows 7 Release Candidate final. Sólo un x86 que se creó la versión de la revisión. Este hotfix sólo se instalará en Ultimate de 32 bits de Windows 7 Release Candidate (compilación 7100). Para evitar adicionales que ofrece complicaciones, la revisión se instale en todas las versiones de idioma de cinco del programa.
  • Si instala la revisión correctamente en el equipo, aparecerá una actualización que hace referencia a este número de Microsoft Knowledge Base (970789) en Agregar o quitar programas. Puede revisar la lista de actualizaciones en Agregar o quitar programas para confirmar que la instalación del hotfix tuvo éxito.
  • Puede desinstalar esta revisión y vuelva a instalarlo. Si desinstala la revisión, las ACL no se devuelven a su estado anterior. Es decir, el cambio que esta revisión se realiza a las ACL no se invierte cuando se desinstala la revisión.

La herramienta CleanWin7RCRoot.exe

  • La herramienta CleanWin7RCRoot.exe examina el descriptor de seguridad completa en la raíz de la unidad del sistema que tiene el "malo conocido" descriptor de seguridad. La herramienta reemplaza un descriptor de seguridad incorrecta por uno correcto. Después se reemplaza el descriptor de seguridad, las carpetas que se crean bajo la carpeta raíz de la unidad del sistema heredan las ACL correctas y aplicaciones se instalan correctamente.
  • La revisión no repara las aplicaciones que ya están instaladas.
  • Si ha cambiado el descriptor de seguridad de raíz, la herramienta CleanWin7RCRoot.exe no realice cambios a la ACL. Esto evita posibles problemas de compatibilidad de aplicaciones.
Nota: No se puede aplicar esta revisión sin conexión. Para obtener información acerca de cómo aplicar este cambio a imágenes sin conexión, consulte la sección "Instrucciones sin conexión" más adelante en este documento.

Solución alternativa

Este problema afecta a sólo las imágenes que se basan en Ultimate de 32 bits de Windows 7 Release Candidate (compilación 7100). Para asegurarse de que esta actualización no afecta a la experiencia de usuario, se recomienda realizar las siguientes acciones:
  1. Realizar una copia de su sistema actual.
  2. Iniciar desde el DVD.
  3. Dar formato a la partición donde desee instalar Windows 7.
  4. Una vez completada la instalación de Windows 7, instale esta actualización desde Windows Update antes de restaurar las copias de seguridad o instalar otro software.
Si ya ha instalado el sistema operativo sin formatear la unidad, asegúrese de que la configuración es correcta. Para ello, ejecute el comando siguiente desde un símbolo del sistema con privilegios elevados:
Cd \

Icacls \
Al ejecutar el comando, debe aparecer el texto siguiente:
\ BUILTIN\Administrators:(F)  BUILTIN\Administrators:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Users:(OI)(CI)(RX)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
NT AUTHORITY\Authenticated Users:(AD)
Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)

Si el texto que aparece difiere este texto y no haya realizado previamente los cambios esperados, debe instalar la revisión.

Si desea aplicar manualmente una corrección que duplica la funcionalidad de la revisión, ejecute el comando siguiente desde un símbolo del sistema con privilegios elevados:
Cd \

cacls \ /S:D:PAI(A;; FA;; BA) (A; OICIIO; GA;; BA) (A; FA;; SY) (A; OICIIO; GA;; SY) (A; OICI; 0X1200A9;; BU) (A; OICIIO; SDGXGWGR;; AU) (A; LC;; AU)

Icacls \ /setintegritylevel (OI)(NP) (IO) H
Si ya ha aplicado la revisión que describe en este artículo, pero tiene directorios existentes o carpetas creadas fuera de la carpeta raíz de la unidad del sistema y desea aplicar la revisión a esos directorios, ejecute el comando siguiente desde un símbolo del sistema con privilegios elevados:
Cd \

CD < directorio que se desea aplicar cambios a >

cacls < directorio que se desea aplicar cambios a > /S:D:AI
Nota: No aplique el comando icacls a los subdirectorios de la raíz.

Este problema afecta a sólo las imágenes que se basan en Ultimate de 32 bits de Windows 7 Release Candidate (compilación 7100).

Instrucciones sin conexión

Las siguientes instrucciones se aplican al técnico que modifica imágenes sin conexión antes de la implementación y antes de instalar aplicaciones en la imagen.

Montar o aplicar la imagen de destino y, a continuación, ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados:
cacls < ruta de acceso al directorio raíz en el archivo wim montado > /S:D:PAI(A;; FA;; BA) (A; OICIIO; GA;; BA) (A; FA;; SY) (A; OICIIO; GA;; SY) (A; OICI; 0X1200A9;; BU) (A; OICIIO; SDGXGWGR;; AU) (A; LC;; AU)

Icacls < ruta de acceso a la unidad raíz del archivo wim montado > /setintegritylevel (OI)(NP) (IO) H
Si tiene que aplicar la configuración a todas las carpetas creadas por el usuario fuera de la raíz en el archivo de imagen WIM, montar o aplicar la imagen de destino y, a continuación, ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados:
CD < ruta de acceso del directorio en el WIM que se desea aplicar cambios a >

cacls < ruta de acceso al directorio en el WIM que se desea aplicar cambios a / S:D:AI
Nota: No aplique el comando icacls a los subdirectorios de la raíz.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información

Esta revisión tiene dos elementos distintos, los detalles de CleanWin7RCRoot.exe y los detalles del paquete.

Los detalles de CleanWin7RCRoot.exe

Se trata de una corrección con ámbito en el que intenta resolver el problema, intenta evitar futuros problemas de compatibilidad y no intenta asumir el riesgo adicional al intentar combinar los ajustes modificados por el usuario. La revisión resuelve el problema al impedir que un usuario estándar o invitado desde la creación de archivos en la raíz del sistema. Para cualquier equipo que tiene el problema, la DACL resultante en la raíz del sistema es la misma que la que se incluye en las SKU correctas.

La corrección

  • El archivo ejecutable comprueba el descriptor de seguridad completa en la raíz de la unidad del sistema que tiene el "malo conocido" descriptor de seguridad.
  • Si la herramienta CleanWin7RCRoot.exe determina que el descriptor de seguridad es incorrecto, reemplaza el descriptor de seguridad con la correcta.
    Correcta SDDL: D:PAI(A;; FA;; BA) (A; OICIIO; GA;; BA) (A; FA;; SY) (A; OICIIO; GA;; SY) (A; OICI; 0X1200A9;; BU) (A; OICIIO; SDGXGWGR;; AU) (A; LC;; S:P(ML;OINPIO; AU) NW;; HI)
  • La herramienta reemplaza un descriptor de seguridad incorrecta por uno correcto. Después se reemplaza el descriptor de seguridad, las carpetas que se crean bajo la carpeta raíz de la unidad del sistema heredan las ACL correctas y las instalaciones de aplicaciones son correctas.

Problemas que no corrige la revisión

Existen dos problemas principales que no prevé la revisión:
  • La revisión cambia la DACL predeterminada en la raíz del sistema, por lo que es ese mismo como en un equipo basado en Windows 7 RTM o en un equipo basado en Windows 7 Release Candidate. Sin embargo, esta revisión no propaga los cambios a los subdirectorios.
  • La revisión no intenta corregir cualquier raíz descriptores de seguridad que han sido modificados por el usuario final.

Desinstalar

El archivo ejecutable no admite la desinstalación. Los cambios que realiza la revisión son permanentes. Incluso si se desinstala el paquete, no se desharán los cambios que realiza CleanWin7RCRoot.exe.

Casos de error

Los casos de error de la herramienta son errores cuando el archivo ejecutable identifica el problema, pero no puede corregir el problema. Si determina que el archivo ejecutable que no pudo corregir el problema porque la ACL no es como se esperaba, incluso si está mal todavía, la herramienta devolverá el éxito.

Referencias

Para obtener más información acerca de la ACL y descriptores de seguridad, visite los siguientes sitios Web de Microsoft MSDN:Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Propiedades

Id. de artículo: 970789 - Última revisión: 13 ene. 2017 - Revisión: 1

Comentarios