系統磁碟機的根目錄下建立的資料夾遺失其安全性描述元,可能會造成某些應用程式失敗,在 Windows 7 發行候選的 32 位元旗鑑版的英文版中的項目

適用於: Windows 7 Ultimate

狀況


在英文版本的 Windows 7 發行候選 (組建 7100) 32 位元旗鑑版中,會將會建立為系統磁碟機 (%並) 的根資料夾的資料夾遺失其安全性描述元中的項目。 這個問題的一種效果是標準的使用者,例如非系統管理員無法執行所有作業會建立直接的根目錄下的子資料夾。因此,參考的根目錄下的資料夾中的應用程式可能無法順利安裝,或可能不成功的解除安裝。此外,作業或參考這些資料夾的應用程式可能會失敗。

比方說,如果提高權限的命令提示字元從系統磁碟機的根目錄下建立資料夾,此資料夾不會正確地繼承的權限從磁碟機的根目錄。因此,在某些特定的作業,例如刪除資料夾中,將會在從非提升權限的命令提示字元中執行時失敗。此外,當作業失敗時,就會出現下列錯誤訊息︰
存取遭拒。
此外,遺漏的安全性描述元項目會保護直接在根目錄下的非系統管理檔案作業。

原因


之所以發生這個問題,是因為 Windows 7 發行候選的 32 位元旗鑑版的英文版未正確地設定存取控制清單 (Acl) 在根目錄中。

解決方案


對於這些客戶受到這個問題,此修正程式是可透過 Windows Update 的︰

Hotfix 資訊

支援的 hotfix 可從 Microsoft 取得。不過,此 Hotfix 僅用於修正本文中所述的問題。此 Hotfix 只適用於發生此特定問題的系統上。

先決條件

您必須套用此 hotfix 之後所安裝的 Windows 7 發行候選的 32 位元旗鑑版。

重新啟動需求

您不必套用此 hotfix 之後,重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代先前發行的 hotfix。

檔案資訊

此 hotfix 的英文版具有下列表格中所列檔案屬性 (或較新的檔案屬性)。這些檔案的日期和時間會以國際標準時間 (UTC) 格式列出。當您檢視檔案資訊時,會將它轉換為本地時間。若要查看 UTC 與當地時間的時差,請在 [控制台] 中的日期和時間項目使用 [時區] 索引標籤。
檔案名稱檔案版本檔案大小日期時間平台
Cleanwin7rcroot.exe6.1.7100.1515,94404-May-200906:33x86
Hotfix 是透過 Windows Update 而釋放的。

Hotfix 套件

  • 問題只存在於 x86 的 Windows 7 發行候選最終版本。只有 x86 hotfix 版本所建立。只能在 Windows 7 發行候選 (組建 7100) 32 位元旗鑑版上,將會安裝此 hotfix。若要避免額外提供的複雜性,hotfix 將會安裝所有的五個語言版本的程式。
  • 如果您成功地在電腦上安裝 hotfix,更新參考此 Microsoft 知識庫編號 (970789) 會出現在 [新增或移除程式中。您可以檢閱中新增或移除程式,以確認安裝補充程式成功的更新清單。
  • 您可以解除安裝此 hotfix,然後再重新安裝。如果您解除安裝此 hotfix,Acl 不會傳回先前的狀態。也就是說,此 hotfix 對 Acl 的變更不會解除安裝 hotfix 時反轉。

[CleanWin7RCRoot.exe] 工具

  • CleanWin7RCRoot.exe 工具會檢查 「 已知的惡意程式 」 的系統磁碟機的根目錄上的完整的安全性描述元的安全性描述元。工具會將一個不正確的安全性描述元取代正確的一個。安全性描述元會被取代之後,系統磁碟機的根資料夾下建立的資料夾會繼承正確的 Acl,,和應用程式安裝成功。
  • 此 hotfix 不會修復已安裝的應用程式。
  • 如果您已經變更根目錄安全性描述元,CleanWin7RCRoot.exe 工具不會不會對 ACL 的變更。如此可避免潛在的應用程式相容性問題。
注意您無法套用此 hotfix 離線。如需有關如何將這項變更套用至離線映像的資訊,請參閱本文件稍後的 「 離線指令 」 一節。

因應措施


這個問題會影響只以最終考量的 32 位元 Windows 7 發行候選 (組建 7100) 為基礎的影像。若要確定此更新不會影響您的使用者經驗,我們建議您採取下列動作︰
  1. 備份您目前的系統。
  2. 從 DVD 啟動。
  3. 格式化您要安裝 Windows 7 的磁碟分割。
  4. Windows 7 安裝完畢後,安裝這個更新從 Windows Update 還原的備份或安裝任何其他軟體之前。
如果您沒有經過格式化您的磁碟機已安裝作業系統,請確定您的設定正確。若要這麼做,請從提高權限的命令提示字元中執行下列命令︰
Cd \

Icacls \
當您執行命令時,應該會出現下列文字︰
\ BUILTIN\Administrators:(F)  BUILTIN\Administrators:(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
BUILTIN\Users:(OI)(CI)(RX)
NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)(M)
NT AUTHORITY\Authenticated Users:(AD)
Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)

如果出現的文字不同於這段文字,而您先前未進行任何其他預期的變更,您必須在安裝 hotfix。

如果您想要手動套用的修正程式,會複寫此 hotfix 的功能,請從提高權限的命令提示字元執行下列命令︰
Cd \

cacls \ /S:D:PAI(A;;FA;;BA) (A; OICIIO; GA;;BA) (A;FA;;SY) (A; OICIIO; GA;;SY) (A; OICI; 0X1200A9;;BU) (A; OICIIO;SDGXGWGR;;AU)(A;;LC;;AU)

icacls \ /setintegritylevel (OI)(NP) (IO) H
如果您已套用 hotfix 說明本文中,但您有現有的目錄或所建立的資料夾關閉系統磁碟機的根資料夾,而想要套用修正程式,這些目錄中,從已提高權限的命令提示字元執行下列命令︰
Cd \

Cd < 您想要將變更套用到的目錄 >

cacls < 您想要將變更套用到的目錄 > /S:D:AI
注意並將 [ icacls ] 命令套用到關閉根目錄的子目錄。

這個問題會影響只以最終考量的 32 位元 Windows 7 發行候選 (組建 7100) 為基礎的影像。

離線的指示

下列指示將套用到技術人員修改影像離線部署之前,以及之前安裝映像中的應用程式中。

掛接或套用目標映像,並從提高權限的命令提示字元中執行下列命令︰
cacls < 路徑上掛接 wim 根 dir > /S:D:PAI(A;;FA;;BA) (A; OICIIO; GA;;BA) (A;FA;;SY) (A; OICIIO; GA;;SY) (A; OICI; 0X1200A9;;BU) (A; OICIIO;SDGXGWGR;;AU)(A;;LC;;AU)

icacls < 上掛接 wim 的根磁碟機路徑 > /setintegritylevel (OI)(NP) (IO) H
如果您必須將設定套用到任何使用者所建立的資料夾關閉 WIM 映像檔案中的根,掛接或套用目標映像,並從提高權限的命令提示字元中執行下列命令︰
Cd < 您想要將變更套用到的 WIM 中的目錄路徑 >

cacls < 您想要將變更套用到的 WIM 中的目錄路徑 / S:D:AI
注意並將 [ icacls ] 命令套用到關閉根目錄的子目錄。

狀態


Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。

更多的資訊


此 hotfix 會有兩個不同的項目、 CleanWin7RCRoot.exe 的詳細資料和套件的詳細資料。

CleanWin7RCRoot.exe 的詳細資料

這是範圍的修正程式,嘗試解決問題,嘗試避免未來的應用程式相容性問題,並不會嘗試藉由嘗試以合併使用者修改設定採取額外的風險。此修正程式會解決問題,藉由防止標準使用者或來賓建立系統根目錄下的檔案。在發生問題的任何電腦,系統根目錄的產生 DACL 是隨附於正確的 Sku 中的一個相同。

此修正程式

  • 可執行檔會檢查 「 已知的惡意程式 」 的系統磁碟機的根目錄上的完整的安全性描述元的安全性描述元。
  • 如果 「 CleanWin7RCRoot.exe 」 工具判斷安全性描述元不正確,它會取代安全性描述元正確。
    正確的 SDDL: D:PAI(A;;FA;;BA) (A; OICIIO; GA;;BA) (A;FA;;SY) (A; OICIIO; GA;;SY) (A; OICI; 0X1200A9;;BU) (A; OICIIO;SDGXGWGR;;AU)(A;;LC;;AU) S:P(ML;OINPIO;NW;;大家好)
  • 工具會將一個不正確的安全性描述元取代正確的一個。安全性描述元會被取代之後,系統磁碟機的根資料夾下建立的資料夾會繼承正確的 Acl,而且應用程式安裝成功。

此 hotfix 不能解決的問題

有兩個主要的問題,hotfix 不能解決︰
  • 此 hotfix 會變更系統根目錄上的預設 DACL,使它也等於是因為它是在 Windows 7 RTM 為基礎的電腦上或在 Windows 7 發行候選為基礎的電腦上。不過,此 hotfix 不會散佈子目錄中所做的變更。
  • 此 hotfix 不會嘗試修正任何根使用者已被修改的安全性描述元。

解除安裝

可執行檔不支援解除安裝。此 hotfix 所產生的變更是永久的。即使解除安裝封裝後,CleanWin7RCRoot.exe 所產生的變更都未還原。

錯誤案例

錯誤情況下,工具會是錯誤的可執行檔會識別問題,但無法修正問題時,才可以。如果可執行檔會判定,它就無法修正問題,因為 ACL 是不如預期,不論其是否仍然錯誤,此工具將會傳回成功。

參考


如需有關 Acl 及安全性描述元的詳細資訊,請造訪下列 Microsoft MSDN 網站︰如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
用來描述 Microsoft 軟體更新標準術語的編號 824684描述