Я все еще использую двойную загрузку на некоторых своих компьютерах, поэтому у меня запущены две установки Windows 7. Большая часть данных находится на разделе на отдельном жестком диске, который используют обе установки.
Для некоторых файлов мне нужно установить разрешение NTFS, если я делаю это с помощью учетной записи пользователя или пользовательской группы Windows, то это работает нормально на одной установке. При загрузке во вторую установку у пользователя нет доступа к файлам, поскольку записи в ACL относятся к учетной записи из первой установки (и отображаются как «неизвестные» в диалоговом окне безопасности)
Чтобы обойти это, я мог бы использовать одну из встроенных групп Windows. Их sid одинаковы во всех установках Windows.
Вопрос в том, какую из встроенных групп использовать? Я хочу дать пользователю как можно меньше дополнительных разрешений:
Administrators S-1-5-32-544
Backup Operators S-1-5-32-551
Cryptographic Operators S-1-5-32-569
Distributed COM Users S-1-5-32-562
Event Log Readers S-1-5-32-573
Guests S-1-5-32-546
IIS_IUSRS S-1-5-32-568
Network Configuration Operators S-1-5-32-556
Performance Log Users S-1-5-32-559
Performance Monitor Users S-1-5-32-558
Power Users S-1-5-32-547
Remote Desktop Users S-1-5-32-555
Replicator S-1-5-32-552
Users S-1-5-32-545
Я не хочу использовать Administrators, Backup Operators или Power Users, потому что учетные записи в этих группах имеют мощные разрешения. Какой из оставшихся наименее «мощный»?
Я также не могу использовать «Гостей», поскольку у них не должно быть доступа к файлам.
Я также не могу использовать «пользователей», поскольку все обычные пользователи входят в эту группу, но не каждый пользователь должен иметь доступ к соответствующим файлам.
решение1
1 слово. Пользователи.
По сути, пользователи — это все, кого может локально аутентифицировать данное устройство.
решение2
Похоже, в Windows Vista и более поздних версиях группа «Опытные пользователи» утратила почти все свои полномочия, и ее члены по сути обладают такими же полномочиями, как и члены группы «Пользователи».
Таким образом, группа «Опытные пользователи» является хорошим кандидатом для данного требования.
Также группа 'Replicator' не имеет дополнительных прав пользователя и, насколько мне известно, не имеет разрешений на какие-либо защищенные объекты. Это устаревшая группа со времен Windows NT.
Если вы используете серверы, то еще одним кандидатом является группа «Операторы печати» .
Редактировать: Оказывается, ни группа «Опытные пользователи», ни группа «Операторы печати» не подходят для этой цели. Даже если пользователь является членом этих групп и у групп есть, скажем, разрешения на запись в ресурс, у пользователя нет доступа на запись в ресурс.
Как и группа администраторов, эти группы являются особыми, и когда пользователь входит в группу, он получает раздельный токен при входе в систему. Разрешения, полученные через членство в этой группе, не находятся в его стандартном токене пользователя, и поэтому у него нет доступа к ресурсу.
Вы можете увидеть это, набрав
whoami /groups
Группа «Опытные пользователи» имеет атрибут:
Group used for deny only
Группа «Пользователи удаленного рабочего стола» не имеет этого, но имеет побочный эффект, который позволяет пользователю входить через RDP. Поэтому единственная группа, которая может быть использована для этого, этоРепликаторгруппа
решение3
Одним из экспериментальных подходов было бы заставить обе установки Windows использовать одну и ту же базу данных пользователей (SAM).
Если бы вам удалось скопировать файл SAM ( \Windows\System32\config\SAM
) из установки 1 в установку 2, пользователи были бы идентичны вплоть до уровня SID.
Аналогичный подход заключается в создании группы на каждой установке, а затем попытке редактирования файла SAM одной установки, изменяя его SID на тот, который используется другой установкой. Поскольку инструменты сброса пароля изменяют SAM, это может быть возможным способом.
Я сам никогда этого не пробовал, поэтому перед тем, как пробовать такие подходы, убедитесь, что у вас есть полная резервная копия вашей системы...