4

Я все еще использую двойную загрузку на некоторых из моих компьютеров, поэтому у меня запущены две установки Windows 7. Большая часть данных находится в разделе на отдельном жестком диске, который используют обе установки.

Для определенных файлов мне нужно установить разрешение NTFS, если я делаю это, используя учетную запись пользователя или пользовательскую группу Windows, она отлично работает на одной установке. При загрузке во второй установке пользователь не имеет доступа к файлам, поскольку записи в ACL-списках относятся к учетной записи из первой установки (и отображаются как «неизвестные» в диалоговом окне безопасности).

Чтобы обойти это, я мог бы использовать одну из встроенных групп Windows. Их sid одинаковы на всех установках Windows.

Вопрос в том, какую из встроенных групп использовать? Я хочу дать пользователю как можно меньше дополнительных разрешений:

Administrators                  S-1-5-32-544
Backup Operators                S-1-5-32-551
Cryptographic Operators         S-1-5-32-569
Distributed COM Users           S-1-5-32-562
Event Log Readers               S-1-5-32-573
Guests                          S-1-5-32-546
IIS_IUSRS                       S-1-5-32-568
Network Configuration Operators S-1-5-32-556
Performance Log Users           S-1-5-32-559
Performance Monitor Users       S-1-5-32-558
Power Users                     S-1-5-32-547
Remote Desktop Users            S-1-5-32-555
Replicator                      S-1-5-32-552
Users                           S-1-5-32-545

Я не хочу использовать администраторов, операторов резервного копирования или опытных пользователей, потому что учетные записи в этих группах имеют мощные разрешения. Какой из оставшихся является наименее «мощным»?

Я также не могу использовать «Гости», потому что у них не должно быть доступа к файлам.

Я также не могу использовать «пользователи», потому что каждый обычный пользователь находится в этой группе, но не каждый пользователь должен иметь доступ к рассматриваемым файлам.

3 ответа3

3

1 слово Пользователи.

Пользователи - это, в основном, все, кто может быть аутентифицирован на этой машине локально.

1

Похоже, в Windows Vista и позже группа «Опытные пользователи» утратила почти все свои полномочия, и ее члены по сути столь же сильны, как и члены группы «Пользователи».

Таким образом, группа «Опытные пользователи» является хорошим кандидатом на данное требование.

Кроме того, группа «Репликатор» не имеет дополнительных прав пользователя, а AFAIK не имеет разрешений для любых защищенных объектов. Это устаревшая группа со времен Windows NT.

Если вы используете серверы, группа «Операторы печати» является другим кандидатом.

Редактировать: Оказывается, что и «Опытные пользователи», и группа «Операторы печати» не работают для этой цели. Даже когда пользователь является членом этих групп, и у групп есть, скажем, права на запись для ресурса, у пользователя нет доступа на запись к ресурсу.

Как и группа администраторов, эти группы являются особенными, и когда пользователь входит в группу, он получает сплит-токен при входе в систему. Разрешения, полученные за членство в этой группе, не указаны в его стандартном пользовательском маркере, и поэтому он не имеет доступа к ресурсу.

Вы можете увидеть это, набрав

whoami /groups

Группа «Опытные пользователи» имеет атрибут:

Group used for deny only

Группа «Пользователи удаленного рабочего стола» не имеет этого, но имеет побочный эффект, который позволяет пользователю войти в систему через RDP. Таким образом, единственная группа, которая может использоваться для этого, является группой репликатора.

0

Один очень экспериментальный подход заключается в том, чтобы обе установки Windows использовали одну и ту же базу данных пользователей (SAM).

Если бы вам удалось скопировать файл SAM (\Windows\System32\config\SAM) установки 1 в установку 2, пользователи были бы идентичны до уровня SID.

Аналогичным подходом будет создание группы для каждой установки, а затем попытка изменить файл SAM одной установки, изменив его SID или другой, используемый другой установкой. Поскольку инструменты сброса пароля модифицируют SAM, это может быть возможным способом.

Я никогда не пробовал это сам - поэтому, прежде чем пробовать такие подходы, убедитесь, что у вас есть полная резервная копия вашей системы ...

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .