在系统驱动器的根目录下创建一个文件夹缺少安全描述符,这可能导致某些应用程序出现故障,在英文版的 Windows 7 版本候选 32 位终极中的条目

适用于: Windows 7 Ultimate

症状


中英文版的 Windows 7 候选发布版 (build 7100) 32 位旗舰版,为系统驱动器 (%系统驱动器 %) 的根文件夹中创建的文件夹缺少安全描述符中的条目。 此问题的一个效果是标准如非管理员用户不能执行所有操作直接在根目录下创建的子文件夹。因此,引用文件夹的根目录下的应用程序可能无法成功安装或卸载可能会成功。此外,操作或引用这些文件夹的应用程序可能会失败。

例如,如果从提升的命令提示符系统驱动器的根目录下创建一个文件夹,该文件夹将不正确继承权限驱动器的根目录。因此,某些特定的操作,例如,删除该文件夹,将失败的非提升的命令提示符下执行它们时。另外,在操作失败时,会出现以下错误消息︰
访问被拒绝。
此外,缺少安全描述符项保护非管理直接在根目录下的文件操作。

原因


发生此问题是因为英文版的 Windows 7 版本候选 32 位终极错误设置访问控制列表 (Acl) 的根。

解决方案


对于那些受此问题的客户,该修补程序是可通过 Windows 更新︰

修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。

系统必备组件

您必须安装要应用此修补程序的 Windows 7 发布候选 32 位旗舰版。

重启要求

应用此修补程序后,不需要重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。
文件名称文件版本文件大小日期时间平台
Cleanwin7rcroot.exe6.1.7100.1515,94404-May-200906:33x86
此修复程序通过 Windows 更新发布。

此修补程序包

  • 此问题仅存在于 x86 版本的 Windows 7 版本最终候选。只有 x86 版本的修复程序的创建。只有在 Windows 7 候选发布版 (build 7100) 32 位终极将安装此修补程序。若要避免额外提供的问题,此修复程序将安装在所有五种语言版本的程序。
  • 如果您的计算机上成功安装修补程序,更新引用此 Microsoft 知识库文章编号 (970789) 将显示在添加或删除程序中。您可以查看列表中添加或删除程序,以确认已成功安装修复程序的更新。
  • 可以卸载此修补程序,然后重新安装它。如果您卸载此修补程序,Acl 不返回到其以前的状态。即,当您卸载此修补程序不可逆对 Acl 进行此修补程序的更改。

CleanWin7RCRoot.exe 工具

  • CleanWin7RCRoot.exe 工具检查具有已知的恶意系统驱动器的根目录的完整安全描述符的安全描述符。该工具替换一个正确不正确的安全描述符。安全描述符将被替换后,在系统驱动器的根文件夹下创建文件夹继承正确的 Acl,并成功安装应用程序。
  • 此修补程序不能修复已安装的应用程序。
  • 如果您更改了根安全描述符,CleanWin7RCRoot.exe 工具不到 ACL 进行更改。这样可以防止潜在的应用程序兼容性问题。
注意:无法应用此修补程序离线。有关如何将此更改应用到脱机映像的信息,请参阅本文档后面部分中的"脱机说明"部分。

解决方法


此问题会影响基于 Windows 7 候选发布版 (build 7100) 32 位终极的唯一图像。若要确保此更新不会影响用户体验,我们建议您执行以下操作︰
  1. 您当前的系统进行备份。
  2. 从 DVD 启动。
  3. 设置您想要安装 Windows 7 的分区的格式。
  4. Windows 7 安装完成后,从 Windows Update 安装此更新之前还原任何备份或安装任何其他软件。
如果您已经安装操作系统无需设置格式的硬盘,请确保您的设置正确。若要执行此操作,请从提升的命令提示符处运行以下命令︰
Cd \

Icacls。
当您运行命令时,应显示以下文本︰
\ BUILTIN\Administrators:(F)  BUILTIN\Administrators:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Users:(OI)(CI)(RX)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
NT AUTHORITY\Authenticated Users:(AD)
Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)

如果显示的文本不同于此文本,并且您没有以前进行预期的任何其他更改,则必须安装此修复程序。

如果您想手动应用的修复程序将复制该修补程序的功能,从提升的命令提示符处运行以下命令︰
Cd \

cacls \ /S:D:PAI(A;;FA;;BA) (A; OICIIO; 正式上市;;BA) (一个;FA;;SY) (A; OICIIO; 正式上市;;SY) (A; OICI; 0X1200A9;;BU) (A; OICIIO;SDGXGWGR;;AU) (一个;LC;;AU)

icacls \ /setintegritylevel (OI)(NP) (IO) H
如果您已经应用了修补程序所述的这篇文章,但您拥有现有的目录或所创建的文件夹系统驱动器的根文件夹并将修补程序应用于这些目录,从提升的命令提示符处运行以下命令︰
Cd \

Cd < 您要应用的更改的目录 >

cacls < 您要应用的更改的目录 > /S:D:AI
注意:不适用于关闭根目录的子目录中的icacls命令。

此问题会影响基于 Windows 7 候选发布版 (build 7100) 32 位终极的唯一图像。

离线说明

以下说明适用于技术人员修改映像脱机部署以及前映像中安装应用程序。

装载或应用目标的图像,然后从提升的命令提示符处运行以下命令︰
cacls < 上装入 wim 根目录路径 > /S:D:PAI(A;;FA;;BA) (A; OICIIO; 正式上市;;BA) (一个;FA;;SY) (A; OICIIO; 正式上市;;SY) (A; OICI; 0X1200A9;;BU) (A; OICIIO;SDGXGWGR;;AU) (一个;LC;;AU)

< 根驱动器中已装载 wim 路径 > icacls /setintegritylevel (OI)(NP) (IO) H
如果您必须将设置应用于任何用户创建的文件夹关闭 WIM 映像文件的根节点,装载或应用目标的图像,并再从提升的命令提示符处运行以下命令︰
Cd 中您想要将更改应用到 WIM 目录路径 < >

cacls < 中您想要将更改应用到 WIM 目录路径 / S:D:AI
注意:不适用于关闭根目录的子目录中的icacls命令。

状态


Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息


此修补程序有两个不同的元素,它,CleanWin7RCRoot.exe 详细信息和包的详细信息。

CleanWin7RCRoot.exe 的详细信息

这是一个指定了作用域的修复程序,尝试解决此问题,尝试以避免将来的应用程序兼容性问题,并不试图尝试合并用户修改设置承担额外的风险。此修复程序通过阻止标准用户或来宾创建文件系统根目录下的解决问题。出现此问题的任何计算机,系统根目录上的得到 DACL 是正确的 Sku 中包含相同。

此修复程序

  • 可执行文件检查具有已知的恶意系统驱动器的根目录的完整安全描述符的安全描述符。
  • 如果 CleanWin7RCRoot.exe 工具确定不正确的安全描述符,它将使用正确替换的安全描述符。
    正确的 SDDL: D:PAI(A;;FA;;BA) (A; OICIIO; 正式上市;;BA) (一个;FA;;SY) (A; OICIIO; 正式上市;;SY) (A; OICI; 0X1200A9;;BU) (A; OICIIO;SDGXGWGR;;AU) (一个;LC;;AU) S:P(ML;OINPIO;NW;;你好)
  • 该工具替换一个正确不正确的安全描述符。安全描述符将被替换后,在系统驱动器的根文件夹下创建文件夹继承正确的 Acl 中,并且应用程序安装成功。

此修补程序不能解决的问题

有此修补程序不能解决的两个主要问题︰
  • 此修补程序更改系统根上默认的 DACL,以便它是相同的因为它是在基于 Windows 7 RTM 的计算机或基于 Windows 7 候选发布版的计算机上。但是,此修补程序不会传播到子目录更改。
  • 此修补程序不会尝试修复任何根已被修改的最终用户的安全描述符。

卸载

可执行文件不支持卸载。此修复程序所做的更改是永久性的。即使卸载包时,将不还原 CleanWin7RCRoot.exe 所做的更改。

错误情况

工具的错误情况是仅在可执行文件标识问题,但不能解决问题时的错误。如果可执行文件确定 ACL 不是预期,即使是仍然有问题,因为它不能解决问题,则该工具将返回成功。

参考资料


有关 Acl 和安全描述符的更多信息,请访问下面的 Microsoft MSDN Web 站点︰有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
用于描述 Microsoft 软件更新的标准术语的824684说明