Ainda estou usando inicialização dupla em alguns dos meus computadores, então tenho duas instalações do Windows 7 em execução. A maioria dos dados está em uma partição em um disco rígido separado usado por ambas as instalações.
Para determinados arquivos, preciso definir a permissão NTFS; se eu fizer isso usando uma conta de usuário ou um grupo personalizado do Windows, ele funcionará bem em uma instalação. Ao inicializar na segunda instalação, o usuário não tem acesso aos arquivos porque as entradas nas ACLs são específicas da conta da primeira instalação (e mostradas como 'desconhecidas' na caixa de diálogo de segurança)
Para contornar isso, eu poderia usar um dos grupos internos do Windows. Seus Sids são os mesmos em todas as instalações do Windows.
A questão é qual dos grupos integrados usar? Quero dar ao usuário o mínimo de permissões extras possível:
Administrators S-1-5-32-544
Backup Operators S-1-5-32-551
Cryptographic Operators S-1-5-32-569
Distributed COM Users S-1-5-32-562
Event Log Readers S-1-5-32-573
Guests S-1-5-32-546
IIS_IUSRS S-1-5-32-568
Network Configuration Operators S-1-5-32-556
Performance Log Users S-1-5-32-559
Performance Monitor Users S-1-5-32-558
Power Users S-1-5-32-547
Remote Desktop Users S-1-5-32-555
Replicator S-1-5-32-552
Users S-1-5-32-545
Não quero usar administradores, operadores de backup ou usuários avançados porque as contas nesses grupos têm permissões poderosas. Qual dos restantes é o menos “poderoso”?
Também não posso usar 'Convidados' porque eles não deveriam ter acesso aos arquivos.
Também não posso usar 'usuários' porque todos os usuários normais estão nesse grupo, mas nem todos os usuários devem ter acesso aos arquivos em questão.
Responder1
1 palavra. Usuários.
Os usuários são basicamente todos que podem ser autenticados localmente por aquela máquina.
Responder2
Parece que no Windows Vista e posteriormente o grupo 'Usuários Avançados' perdeu quase todos os seus poderes e seus membros são essencialmente tão poderosos quanto os membros do grupo 'usuários'.
Portanto, o grupo Usuários Avançados é um bom candidato para o requisito determinado.
Além disso, o grupo 'Replicador' não possui direitos de usuário extras e o AFAIK não possui permissões em nenhum objeto seguro. É um grupo herdado da época do Windows NT.
Se você estiver usando servidores, o grupo 'Operadores de Impressão' é outro candidato.
Editar: Acontece que tanto o grupo 'Usuários avançados' quanto o grupo 'Operadores de impressão' não funcionam para essa finalidade. Mesmo quando um usuário é membro desses grupos e os grupos têm permissões de gravação para um recurso, o usuário não tem acesso de gravação ao recurso.
Assim como o grupo de administradores, esses grupos são especiais e quando um usuário está no grupo ele recebe um token dividido no logon. As permissões obtidas através desta associação ao grupo não estão no seu token de usuário padrão e, portanto, ele não tem acesso ao recurso.
Você pode ver isso digitando
whoami /groups
O grupo 'Usuários Avançados' tem um atributo de:
Group used for deny only
O grupo 'Usuários da área de trabalho remota' não possui isso, mas tem o efeito colateral de permitir que o usuário faça logon por meio do RDP. Portanto, o único grupo que pode ser usado para isso é oReplicadorgrupo
Responder3
Uma abordagem muito experimental seria fazer com que ambas as instalações do Windows usassem o mesmo banco de dados de usuário (SAM).
Se você conseguisse copiar o arquivo SAM ( \Windows\System32\config\SAM) da instalação 1 para a instalação 2, os usuários seriam idênticos até o nível SID.
Uma abordagem semelhante seria criar um grupo em cada instalação e então tentar editar o arquivo SAM de uma instalação, alterando seu SID para aquele usado pela outra instalação. Como as ferramentas de redefinição de senha modificam o SAM, esse pode ser um caminho possível.
Eu nunca tentei isso sozinho - portanto, antes de tentar tais abordagens, certifique-se de ter um backup completo do seu sistema ...