Windows Vista 中的 NTFS 判別存取控制清單 (DACL) 設定變更回預設值

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:949608
簡介
在 Windows Vista 中,還會使用 NTFS 檔案系統無條件存取控制項清單若要啟用資料分享及共同作業資料中的已變更 (Dacl)外部的受保護目錄的目錄。使用者的受保護的目錄使用者設定檔。針對範例中,假設 C:\Users\Denise\Pictures 目錄是受保護的目錄。A資料是建立此受保護的目錄結構以外的目錄。D:\Pictures 是一個受保護的結構之外的目錄。

假設韓旻春登入自己的 Windows vista 電腦並她所建立在新的目錄她外接式硬碟 (磁碟機 D)。韓旻名稱[FamilyPictures 的目錄。更新的版本,韓旻的兒子,Brian,登入電腦。李良建立新的目錄,名為 SummerVacationPics在FamilyPictures目錄。然後,李良會將數張圖片儲存在 SummerVacationPics 目錄中。如果Windows XP DACL 的設定套用至 SummerVacationPics 目錄,韓旻無法編輯任一圖片SummerVacationPics 目錄。這因為 Dacl 標記為李良,就會發生問題只有擁有寫入權限的使用者。不過,DACL 預設有的行為已變更在 Windows Vista 中。因此,在 Windows Vista 韓旻就可以執行相片編輯 SummerVacationPics 目錄中的圖片上的工作。

這些 DACL變更會讓使用者共用,並編輯檔案,但並未指定中的認證 使用者帳戶控制 對話方塊。此外,使用者能以手動方式進行目錄私用。這項功能使用者可以保證輕鬆地維護資料的機密性及資料磁碟機上資料的完整性。私用的目錄是由系統管理員可讀取的如果系統管理員授與提升的權限。[提高權限的模式] 功能應該用來保留從標準使用者的私用的資料。Windows Vista DACL 設定會套用在安裝期間,移轉這些繪圖至偵測到任何磁碟機,符合下列條件其中一項:
  • 磁碟機沒有包含 Windows 作業系統。
  • 使用預設的 Windows XP DACL 進行格式化的磁碟機設定值。
其他相關資訊

工具的更新

已變更的 convert.exe 命令和 Format.exe 的命令列工具在 Windows Vista 中,加入新的新選項DACL 的設定。不過,這些工具無法轉換至現有的 Windows XP DACL 設定Windows Vista DACL 的設定。若要變更現有的 Windows XP DACL 設定Windows Vista DACL] 設定中,您必須使用 Cacls.exe 命令列工具,在Windows Vista。例如,下列命令會將轉換現有的 WindowsXP DACL 上的設定D:\ 資料磁碟機為 Windows Vista DACL 設定:

Cacls D:\ /s: d: (A; OICI 公釐; GA;;BA) (A; OICI 公釐; GA;;SY) (A; OICI;SDGXGWGR;;AU) (A; OICI;GXGR;;BU)

在 Windows Vista 的 DACL 設定

用於判定下表的縮寫存取的結果控制項項目(ACE) 繼承。

存取控制的項目繼承縮寫
縮寫描述
CI容器繼承。將所繼承的存取控制項目目錄搜尋。
OI物件繼承。將所繼承的存取控制項目使用.
IO僅供繼承。存取控制項目不適用於目前的檔案和目錄。
非分頁不會傳播繼承。
Windows XP %systemroot%目錄及資料磁碟機 DACL 設定

以下是預設 DACL 的設定在 Windows XP 中,磁碟機 %systemroot%目錄,以及資料。
使用者或群組存取控制項目存取控制的項目繼承
的話完整控制項(OI)(CI)
NT AUTHORITY\SYSTEM完整控制項(OI)(CI)
建立者擁有者完全控制(OI)(CI)(IO)
BUILTIN\Users讀取(OI)(CI)
BUILTIN\Users特殊存取權:FILE_APPEND_DATA(CI)
BUILTIN\Users 特殊存取權:FILE_WRITE_DATA(CI)(IO)
每一個人讀取
Windows Vista 資料磁碟機 DACL 設定

以下是新的 Windows Vista DACL 設定為使用所建立的資料磁碟機的Format.exe 的程式。
使用者或群組存取控制項目存取控制的項目繼承
的話完全控制
的話完整控制項(OI)(CI)(IO)
NT AUTHORITY\SYSTEM完全控制
NT AUTHORITY\SYSTEM完整控制項(OI)(CI)(IO)
NT 授權 \ 驗證使用者修改
NT 授權 \ 驗證使用者修改(OI)(CI)(IO)
BUILTIN\Users讀取及執行
BUILTIN\Users一般讀取泛型執行(OI)(CI)(IO)
Windows Vista %systemroot%目錄 DACL 設定
使用者或群組存取控制項目存取控制的項目繼承
的話完全控制
的話完整控制項(OI)(CI)(IO)
NT AUTHORITY\SYSTEM完全控制
NT AUTHORITY\SYSTEM完整控制項(OI)(CI)(IO)
BUILTIN\Users讀取及執行(OI)(CI)
NT 授權 \ 驗證使用者修改(OI)(CI)(IO)
NT 授權 \ 驗證使用者附加資料
強制 Label\High 強制等級否寫入(OI)(IO)(非分頁)

如何停用資料磁碟機移轉,當您建置您的映像

在某些環境中,您可能不想轉換您的資料磁碟機的 Acl。在其中您可能不想要轉換您的資料磁碟機的 Acl 的案例包括下列各項:
  • 如果您的資料磁碟機共用,而且您使用 BUILTIN\Users若要取得的 Acl 修改存取權。
  • 如果您有許多的資料檔和多個目錄您資料磁碟機,而且您沒有遭遇資料存取問題。

    附註在這種情況下,變更 Acl 是沒有必要,可能會大幅增加 Windows Vista 安裝期間。
附註Windows 自動化安裝套件 (WAIK) 包含一組部署工具。指引關於部署工具的使用方式您也可以從 「 Microsoft 下載中心 」。WAIK 被針對公司的客戶誰正在進行自動的 Windows 部署。如需有關 WAIK 的詳細資訊,請造訪下列網站: 若要停用資料磁碟機移轉,請按照以下的步驟。
  1. 建立目錄來儲存 Windows 映像格式(WIM) 檔案。比方說,建立 C:\VistaRTM\WIM 目錄。
  2. 建立目錄來儲存未壓縮的操作系統映像。比方說,建立 C:\VistaRTM\OS 目錄。
  3. 將適用的 Install.wim 檔案複製到暫存的 WIM您在步驟 1 建立的目錄。例如,輸入下列命令在命令提示字元,將 Install.wim 檔案複製會從 Windows Vista 安裝媒體:
    複製 e:\sources\install.wim c:\VistaRTM\WIM\install.wim
  4. 影像篩選器驅動程式複製 WAIK 部署到 C:\VistaRTM\Driver 目錄的工具。若要這麼做,請依照下列步驟執行:
    1. 按一下 啟動 開始] 按鈕型別 cmd開始搜尋 方塊中,以滑鼠右鍵按一下 cmd.exe程式 清單中,並然後按一下 以管理員身分執行.
      使用者帳戶控制使用權限 如果系統提示您輸入系統管理員密碼 ;確認輸入的密碼,或按一下 繼續執行.
    2. 在命令提示字元中,輸入下列命令。在每一行之後按 ENTER 鍵。

      光碟片 c:\VistaRTM\Driver\
      wimfltr.sys
  5. 在提高權限的命令提示字元中掛上適用.wim 映像。比方說,在命令提示字元中輸入下列命令:
    Imagex.exe /MountRW c:\VistaRTM\WIM\install。WIM 1 c:\VistaRTM\OS
    附註"1"的 Install.wim 檔案中的影像索引的值。因為Install.wim 檔案可以列出多個 Windows 版本映像,因此您必須使用imagex /info install.wim命令,以顯示所有 Windows 版本中的Install.wim 檔案。當您已找出正確的索引Windows 版本使用該值加上/MountRW ] 指令。

    如需有關 「 ImageX 」 工具,關於 WIM,請造訪下列 Microsoft 網站:
  6. 編輯系統登錄 hive,WIM 映像。若要這麼做,請依照下列步驟執行。

    重要這個章節、 方法或工作包含步驟告訴您如何修改登錄。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
    322756 如何備份及還原 Windows 中的登錄
    1. 按一下 啟動開始] 按鈕型別 regedit開始搜尋 方塊中,並然後按一下 regedit程式清單。
      使用者帳戶控制] 權限 如果提示您輸入系統管理員密碼或確認的提示,輸入密碼,或按一下 繼續執行.
    2. 在 「 登錄編輯程式中,找到並按一下 作用中計然後按一下 載入 Hive在上 檔案 功能表。
    3. 載入 Hive 對話方塊中選取[ 系統 在 Windows Vista 目錄,然後按一下 [目錄 開啟.例如,選取 C:\VistaRTM\OS\Windows\System32\config\SYSTEM 目錄。
    4. 型別 TEMP_HKLM機碼名稱 若要建立暫存的登錄區項目] 方塊,然後按一下 [確定].
    5. 找出並按一下下列登錄子機碼。
      HKEY_LOCAL_MACHINE\TEMP_HKLM\Setup
    6. 在上 編輯 功能表指向 然後按一下 DWORD 值.
    7. 型別 DDACLSys_Disabled然後再按下 ENTER 鍵。
    8. 以滑鼠右鍵按一下 DDACLSys_Disabled然後按一下 修改.
    9. 數值資料 方塊中輸入 1然後按一下 [確定].
  7. 修改映像之後,可能封裝映像。若要這麼做,請在命令提示字元輸入下列命令:
    imagex.exe /UnMount /commit c:\VistaRTM\OS
  8. 藉由修改後的影像來取代原始的 Install.wim 檔案。若要這麼做,請在命令提示字元中輸入下列命令:
    複製 C:\VistaRTM\OS\install.wim E:\sources\install.wim

如何定義受保護的磁碟機 DACL

限制可由標準使用者建立的檔案和目錄

若要指定標準使用者無法建立目錄或其使用者設定檔外的檔案請在提高權限的命令提示字元執行下列命令:
D:P(A;;0 caclsx1301bf;;SY) (A; IOCIOI 公釐; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI 公釐; GA;;BA) (A; OICI 公釐; 0X1200A9;;BU)

讓標準使用者,建立最上層的目錄

若要指定標準使用者可以建立最上層的目錄,並且將會是目錄和所有它的子目錄的擁有者請在命令提示字元執行下列命令:
D:P(A;;0 caclsx1301bf;;SY) (A; IOCIOI 公釐; GA;;SY) (A; 0x1301bf;;BA) (A; IOCIOI 公釐; GA;;BA) (A; OICI 公釐; 0X1200A9;;BU) (A;LC;;BU) (A; OICIIO 公釐; GA;;CO)

如何定義特定的使用者在受保護的目錄

若要指定只有特定使用者可存取檔案或目錄外的使用者設定檔,請依照下列步驟執行:
  1. 若要定義受保護的目錄,您必須先取得目前已登入之使用者的安全性識別碼 (SID)。若要取得 SID,請在命令提示字元執行下列命令:
    whoami/全部
  2. 若要指定受保護使用 Cacls.exe 命令列工具目錄。若要這麼做,請在命令提示字元中輸入下列命令:
    Cacls 目錄 S: D:PAI(A;OICI;GA;;;SID) (A; OICI 公釐; GA;;SY) (A; OICI 公釐; GA;;BA)
    附註目錄 代表目錄路徑您想要設定的目錄。 SID代表使用者的 SID。
下列範例命令會使用 PersonalSecureFolder 目錄。這個目錄位於 D:\ 目錄中。
  • 決定的安全性存取權限[D:\PersonalSecureFolder] 目錄中,在命令提示字元中輸入下列命令:
    PersonalSecureFolder icacls.exe
    命令會產生下列輸出:
    BUILTIN\Administrators:(I)(F)BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)NT AUTHORITY\SYSTEM:(I)(F)NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)NT AUTHORITY\Authenticated Users:(I)(M)NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
  • 若要在 D:\PersonalSecureFolder 目錄中,執行 cacls.exe 命令請在命令提示字元輸入下列命令:
    cacls D:\PersonalSecureFolder 主 D:PAI(A;OICI;GA;;;S-1-5-21-2840286564-3180458239-1922922813-1001) (A; OICI 公釐; GA;;SY) (A; OICI 公釐; GA;;BA)
  • 若要決定新 NTFS DACL D:\PersonalSecureFolder 目錄,請在命令提示字元中輸入下列命令:
    D:\PersonalSecureFolder icacls.exe
    命令會產生下列輸出:
    HomePC\Denise:(F)HomePC\Denise:(OI)(CI)(IO)(F)NT AUTHORITY\SYSTEM:(F)NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)BUILTIN\Administrators:(F)BUILTIN\Administrators:(OI)(CI)(IO)(F)

警告:本文為自動翻譯

內容

文章識別碼:949608 - 最後檢閱時間:07/25/2012 09:46:00 - 修訂: 3.0

Windows Vista 商用入門版, Windows Vista 商用進階版, Windows Vista 家用入門版, Windows Vista 家用進階版, Windows Vista 旗艦版, Windows Vista 商用入門 64 位元版, Windows Vista 商用進階 64 位元版, Windows Vista 家用入門 64 位元版, Windows Vista 家用進階 64 位元版, Windows Vista 旗艦 64 位元版

  • kbexpertiseinter kbinfo kbmt KB949608 KbMtzh
意見反應