Zmienia domyślne ustawienia NTFS arbitralnej kontroli dostępu listy (DACL) w systemie Windows Vista

WPROWADZENIE

W systemie Windows Vista aby umożliwić udostępnianie danych i współpracy w zakresie danych katalogów, które są poza katalogów chronionych zostały zmienione poufne listy kontroli dostępu (DACL) systemu plików NTFS. Chronionego katalogu użytkownika jest profil użytkownika. Na przykład załóżmy, że katalog C:\Users\Denise\Pictures jest chroniony. Katalog danych jest katalog, który jest tworzony poza tą strukturą chronionym katalogu. D:\Pictures to katalog, który znajduje się poza chronionym struktury.

Załóżmy, że Adam Nowak loguje się do jej komputera z systemem Windows Vista i który tworzy nowy katalog na jej zewnętrznym dysku twardym (dysk D). Denise nazwy katalogu FamilyPictures. Później syn Denise, Brian, loguje się do komputera. Brianowi tworzy nowy katalog o nazwie SummerVacationPics w katalogu FamilyPictures. Następnie Brian zapisuje kilku obrazów w katalogu SummerVacationPics. Jeśli ustawienia systemu Windows XP DACL są stosowane do katalogu SummerVacationPics, nie można edytować Denise każdego obrazu w katalogu SummerVacationPics. To zachowanie występuje, ponieważ trzeba oznaczyć Briana jako tylko użytkownik, który ma uprawnienia do zapisu. Jednak zmieniono DACL domyślne zachowanie w systemie Windows Vista. W związku z tym w systemie Windows Vista Denise można wykonywać zadania obrazów w katalogu SummerVacationPics do edycji fotografii.

Te listy DACL zmiany umożliwiają udostępnianie i edycję plików bez określania poświadczenia w oknie dialogowym Kontrola konta użytkownika . Ponadto użytkownicy mogą ręcznie utwórz katalog prywatnych. Funkcja ta gwarantuje, że użytkownicy z łatwością utrzymać poufność i integralność danych na dyskach z danymi. Katalogi prywatne są czytelne przez administratora, jeśli administrator przyznano trybie podniesionych uprawnień. Funkcja "trybie podniesionych uprawnień" stosuje się do zachowania dane prywatne od użytkowników standardowych. Ustawienia systemu Windows Vista DACL są stosowane podczas instalacji i są migrowane do wszelkich wykrytych dysków, która spełnia jeden z następujących kryteriów:
  • Dysk nie zawiera systemu operacyjnego Windows.
  • Dysk jest sformatowany przy użyciu ustawień domyślnych systemu Windows XP DACL.

Więcej informacji

Aktualizacje narzędzia

Narzędzia wiersza polecenia Convert.exe i Format.exe zostały zmienione w systemie Windows Vista, aby uwzględnić nowe opcje dla nowego ustawienia listy DACL. Jednak tych narzędzi nie można przekonwertować istniejących ustawień systemu Windows XP DACL ustawienia systemu Windows Vista DACL. Aby zmienić istniejące ustawienie systemu Windows XP DACL ustawienie systemu Windows Vista DACL, należy użyć narzędzia wiersza polecenia Cacls.exe w systemie Windows Vista. Na przykład następujące polecenie konwertuje istniejących ustawień systemu Windows XP DACL na dysku D:\ ustawienia systemu Windows Vista DACL:

Cacls D:\ /s:D: (A; OICI; GA;; BA) (A; OICI; GA;; SY) (A; OICI; SDGXGWGR;; AU) (A; OICI; GXGR;; BU)

Ustawienia listy DACL w systemie Windows Vista

Skorzystaj z poniższej tabeli skrótów do określenia wyników dziedziczenie wpisu kontroli dostępu.

Skróty dziedziczenie wpisu kontroli dostępu
SkrótOpis
CIDziedziczenie kontenera. Wpis kontroli dostępu będzie dziedziczony przez katalogi.
OIObiekt dziedziczy. Wpis kontroli dostępu będzie dziedziczony przez pliki.
WE/WYTylko dziedziczenie. Wpis kontroli dostępu nie dotyczą bieżącego pliku i katalogu.
POTOKIDziedziczenie nie będzie propagowane.
Ustawienia listy DACL dysku katalogu systemu Windows XP % systemroot % i danych

Poniżej przedstawiono domyślne ustawienia listy DACL dla katalogu % systemroot % i dysku danych w systemie Windows XP.
Użytkownik lub grupaWpis kontroli dostępuDziedziczenie wpisu kontroli dostępu
BUILTIN\AdministratorsPełna kontrola(IO) (CI)
ZARZĄDZANIE NT\SYSTEMPełna kontrola(IO) (CI)
TWÓRCA-WŁAŚCICIELPełna kontrola(IO) (CI) (IO)
BUILTIN\UsersOdczyt(IO) (CI)
BUILTIN\UsersDostęp specjalny: FILE_APPEND_DATA(CI)
BUILTIN\UsersDostęp specjalny: FILE_WRITE_DATA(CI) (IO)
WszyscyOdczyt
Ustawienia listy DACL dysku danych systemu Windows Vista

Poniżej przedstawiono nowe ustawienia systemu Windows Vista DACL dla dysków z danymi, które zostały utworzone przy użyciu programu Format.exe.
Użytkownik lub grupaWpis kontroli dostępuDziedziczenie wpisu kontroli dostępu
BUILTIN\AdministratorsPełna kontrola
BUILTIN\AdministratorsPełna kontrola(IO) (CI) (IO)
ZARZĄDZANIE NT\SYSTEMPełna kontrola
ZARZĄDZANIE NT\SYSTEMPełna kontrola(IO) (CI) (IO)
Zarządzanie NT\Użytkownicy uwierzytelnieniModyfikowanie
Zarządzanie NT\Użytkownicy uwierzytelnieniModyfikowanie(IO) (CI) (IO)
BUILTIN\UsersOdczyt i wykonanie
BUILTIN\UsersOdczyt, wykonanie rodzajowe.(IO) (CI) (IO)
Ustawienia listy DACL katalogu Windows Vista % systemroot %
Użytkownik lub grupaWpis kontroli dostępuDziedziczenie wpisu kontroli dostępu
BUILTIN\AdministratorsPełna kontrola
BUILTIN\AdministratorsPełna kontrola(IO) (CI) (IO)
ZARZĄDZANIE NT\SYSTEMPełna kontrola
ZARZĄDZANIE NT\SYSTEMPełna kontrola(IO) (CI) (IO)
BUILTIN\UsersOdczyt i wykonanie(IO) (CI)
Zarządzanie NT\Użytkownicy uwierzytelnieniModyfikowanie(IO) (CI) (IO)
Zarządzanie NT\Użytkownicy uwierzytelnieniDołącz dane
Obowiązkowe Label\highNie zapisu(IO) (IO) (NP.)

Jak wyłączyć migracji danych dysku podczas tworzenia obrazu

W niektórych środowiskach nie warto przekonwertować ACL dysków z danymi. Następujące scenariusze, w których nie można konwertować dysku danych list ACL:
  • Jeśli udostępniony dysk danych i używać folderu BUILTIN\Użytkownicy listy ACL przejęcie zmodyfikować dostęp.
  • Jeśli masz wiele plików danych i wiele katalogów na dysku danych, a nie występują problemy dostępu do danych.

    Uwaga W tym scenariuszu zmiana list ACL nie jest konieczne i mogą znacznie zwiększyć czas instalacji systemu Windows Vista.
Uwaga Zestaw zautomatyzowanej instalacji systemu Windows (WAIK) zawiera zestaw narzędzi do wdrażania. Wskazówki dotyczące używania narzędzi do wdrażania jest dostępna w witrynie Microsoft Download Center. WAIK jest przeznaczona dla klientów korporacyjnych, którzy prowadzą zautomatyzowanego wdrażania systemu Windows. Aby uzyskać więcej informacji na temat WAIK odwiedź następującą witrynę sieci Web:Aby wyłączyć migracji danych dysku, wykonaj następujące kroki.
  1. Utwórz katalog do przechowywania plików formatu obrazów systemu Windows (WIM). Na przykład utworzyć katalog C:\VistaRTM\WIM.
  2. Utwórz katalog do przechowywania obrazu systemu operacyjnego bez kompresji. Na przykład utworzyć katalog C:\VistaRTM\OS.
  3. Skopiuj plik Install.wim mających zastosowanie do katalogu tymczasowego WIM, który został utworzony w kroku 1. Na przykład wpisz następujące polecenie w wierszu polecenia skopiuj plik Install.wim z nośnika instalacyjnego systemu Windows Vista:
    Kopiowanie e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. Skopiuj sterownik filtru obrazu z wdrażania WAIK narzędzia do katalogu C:\VistaRTM\Driver. Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij przycisk Start Start button , typ
      polecenie cmd w polu Rozpocznij wyszukiwanie cmd.exe na liście programów kliknij prawym przyciskiem myszy, a następnie kliknij polecenie Uruchom jako administrator.
      User Account Control permission Jeśli zostanie wyświetlony monit o hasło administratora lub potwierdzenie, wpisz hasło lub kliknij przycisk Kontynuuj.
    2. W wierszu polecenia wpisz następujące polecenia. Naciśnij klawisz ENTER po wpisaniu każdego polecenia.

      cd c:\VistaRTM\Driver\
      wimfltr.sys
  5. W wiersza polecenia Zainstaluj obraz stosowane wim. Na przykład wpisz następujące polecenie w wierszu polecenia:
    C:\VistaRTM\WIM\install/mountrw ImageX.exe. C:\VistaRTM\OS WIM 1
    Uwaga "1" jest wartość indeksu obrazu w pliku Install.wim. Ponieważ plik Install.wim, można wyświetlić listę wielu obrazów wydanie systemu Windows, należy używać
    ImageX/Info install.wim polecenia, aby wyświetlić wszystkie wersje systemu Windows w pliku Install.wim. Po zidentyfikowaniu poprawny indeks dla tej wersji systemu Windows, należy użyć tej wartości z poleceniem/mountrw .

    Aby uzyskać więcej informacji dotyczących narzędzia ImageX i WIM odwiedź następującą witrynę firmy Microsoft w sieci Web:
  6. Edytowanie gałęzi rejestru systemu dla obrazu WIM. Aby to zrobić, wykonaj następujące kroki.

    Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    322756 jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows
    1. Kliknij przycisk StartStart button , typ
      regedit w polu Rozpocznij wyszukiwanie , a następnie kliknij polecenie regedit na liście Programy .
      User Account Control permission Jeśli zostanie wyświetlony monit o hasło administratora lub potwierdzenie, wpisz hasło lub kliknij przycisk
      Kontynuować.
    2. W Edytorze rejestru zlokalizuj, a następnie kliknij przycisk
      HKEY_LOCAL_MACHINE, a następnie w menu plik kliknij polecenie Załaduj gałąź rejestru .
    3. W oknie dialogowym Ładowanie gałęzi rejestru wybierz katalog SYSTEM w katalogu systemu Windows Vista, a następnie kliknij przycisk
      Otwórz. Na przykład, wybierz
      Katalog C:\VistaRTM\OS\Windows\System32\config\SYSTEM .
    4. Typ TEMP_HKLM w polu Nazwa klucza Aby utworzyć tymczasowy wpis gałęzi, a następnie kliknij przycisk OK.
    5. Zlokalizuj i kliknij następujący podklucz rejestru.
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. W menu Edycja wskaż polecenie
      Nowy, a następnie kliknij polecenie Wartość DWORD.
    7. Wpisz DDACLSys_Disabled, a następnie naciśnij klawisz ENTER.
    8. Kliknij prawym przyciskiem myszy DDACLSys_Disabled, a następnie kliknij przycisk
      Modyfikowanie.
    9. W polu Dane wartości wpisz
      1, a następnie kliknij przycisk OK.
  7. Po zmodyfikowaniu obrazu należy zapieczętować obrazu. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
    imagex.exe /UnMount /commit c:\VistaRTM\OS
  8. Zastąpić oryginalny plik Install.wim przy użyciu zmodyfikowanego obrazu. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
    Kopiowanie C:\VistaRTM\OS\install.wim E:\sources\install.wim

Jak zdefiniować chronionego dysku DACL

Ograniczyć tworzenie plików i katalogów dla użytkowników standardowych

Aby określić, że użytkownicy standardowi nie można utworzyć katalogów lub plików znajdujących się poza ich profile użytkownika, uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień:
cacls D:P(A;;0 x1301bf;; SY) (A; IOCIOI; GA;; SY) (A; 0 x1301bf;; BA) (A; IOCIOI; GA;; BA) (A; OICI; 0X1200A9;; BU)

Użytkownicy standardowi do tworzenia katalogów najwyższego poziomu

Aby określić, że użytkownicy standardowi mogą tworzyć katalogi najwyższego poziomu oraz że będą one właścicieli i wszystkich jego podkatalogów katalogu, uruchom następujące polecenie w wierszu polecenia:
cacls D:P(A;;0 x1301bf;; SY) (A; IOCIOI; GA;; SY) (A; 0 x1301bf;; BA) (A; IOCIOI; GA;; BA) (A; OICI; 0X1200A9;; BU) (A; LC;; BU) (A; OICIIO; GA;; CO)

Jak zdefiniować chronionego katalogu określonego użytkownika

Aby określić, że tylko określonego użytkownika może dostęp do pliku lub katalogu poza profil użytkownika, wykonaj następujące kroki:
  1. Aby zdefiniować chronionego katalogu, należy najpierw uzyskać identyfikator zabezpieczeń (SID) użytkownika, który jest aktualnie zalogowany. Aby uzyskać identyfikator SID, należy uruchomić następujące polecenie w wierszu polecenia:
    polecenie whoami/all
  2. Umożliwia określenie chronionym katalogu narzędzia wiersza polecenia Cacls.exe. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
    Cacls katalogu/s: D:PAI(A;OICI;GA;;; Identyfikator SID) (A; OICI; GA;; SY) (A; OICI; GA;; BA)
    Uwaga: Katalog reprezentuje ścieżkę katalogu katalog, który chcesz skonfigurować. Identyfikator SID
    reprezentuje identyfikator SID użytkownika.
Następujące przykładowe polecenia użyj katalogu PersonalSecureFolder. Ten katalog znajduje się w katalogu D:\.
  • Aby określić zabezpieczeń dostępu do katalogu D:\PersonalSecureFolder, wpisz następujące polecenie w wierszu polecenia:
    icacls.exe PersonalSecureFolder
    To polecenie generuje następujące wyniki:
    BUILTIN\Administrators:(I)(F)BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    NT AUTHORITY\Authenticated Users:(I)(M)
    NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)

  • Aby uruchomić polecenia cacls.exe w katalogu D:\PersonalSecureFolder, należy wpisać następujące polecenie w wierszu polecenia:
    cacls D:\PersonalSecureFolder D:PAI(A;OICI;GA;;;/s: S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI; GA;; SY) (A; OICI; GA;; BA)
  • Aby określić nowe DACL NTFS dla katalogu D:\PersonalSecureFolder, wpisz następujące polecenie w wierszu polecenia:
    icacls.exe D:\PersonalSecureFolder
    To polecenie generuje następujące wyniki:
    HomePC\Denise:(F)HomePC\Denise:(OI)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(F)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(F)
    BUILTIN\Administrators:(OI)(CI)(IO)(F)

Właściwości

Identyfikator artykułu: 949608 — ostatni przegląd: 17.02.2017 — zmiana: 1

Opinia