我仍在某些電腦上使用雙啟動,因此我正在運行兩個 Windows 7 安裝。大多數資料都位於兩個安裝都使用的單獨硬碟的分割區上。
對於某些文件,我需要設定 NTFS 權限,如果我使用使用者帳戶或自訂 Windows 群組執行此操作,則在一次安裝中可以正常運作。啟動到第二次安裝時,使用者無法存取這些文件,因為 ACL 中的項目特定於第一次安裝中的帳戶(並在安全性對話方塊中顯示為「未知」)
為了解決這個問題,我可以使用內建的 Windows 群組之一。它們的 sid 在所有 Windows 安裝上都是相同的。
問題是使用哪個內建組?我想給予用戶盡可能少的額外權限:
Administrators S-1-5-32-544
Backup Operators S-1-5-32-551
Cryptographic Operators S-1-5-32-569
Distributed COM Users S-1-5-32-562
Event Log Readers S-1-5-32-573
Guests S-1-5-32-546
IIS_IUSRS S-1-5-32-568
Network Configuration Operators S-1-5-32-556
Performance Log Users S-1-5-32-559
Performance Monitor Users S-1-5-32-558
Power Users S-1-5-32-547
Remote Desktop Users S-1-5-32-555
Replicator S-1-5-32-552
Users S-1-5-32-545
我不想使用管理員、備份操作員或高級用戶,因為這些群組中的帳戶擁有強大的權限。剩下的哪一個最「強」?
我也無法使用“來賓”,因為他們不應該訪問這些文件。
我也不能使用“用戶”,因為每個普通用戶都在該群組中,但並非每個用戶都應該有權訪問相關文件。
答案1
1 個字。用戶。
使用者基本上是可以在本地透過該機器進行身份驗證的所有人。
答案2
在Windows Vista和後來的Windows Vista中,「進階使用者」群組似乎失去了幾乎所有的權力,其成員基本上與「使用者」群組的成員一樣強大。
因此,高級用戶群組是滿足給定要求的良好候選者。
此外,「Replicator」群組沒有額外的使用者權限,且 AFAIK 對任何安全性物件沒有權限。它是 Windows NT 時代的遺留群組。
如果您使用伺服器,“列印操作員”群組是另一個候選者。
編輯: 事實證明,「進階使用者」和「列印操作員」群組都不適用於此目的。即使使用者是這些群組的成員且這些群組具有對資源的寫入權限,該使用者也沒有對該資源的寫入存取權限。
與管理員群組一樣,這些群組很特殊,當使用者位於該群組時,他會在登入時獲得分割令牌。透過此群組成員資格獲得的權限不在他的標準使用者令牌中,因此他無權存取該資源。
您可以透過輸入來看到這一點
whoami /groups
「進階使用者」群組具有以下屬性:
Group used for deny only
「遠端桌面使用者」群組沒有此功能,但具有使用戶能夠透過 RDP 登入的副作用。所以唯一可以用於此目的的群組是複製器團體
答案3
一個非常實驗性的方法是讓兩個 Windows 安裝使用相同的使用者資料庫 (SAM)。
如果您能夠設法將安裝 1 的 SAM 檔案 ( \Windows\System32\config\SAM) 複製到安裝 2 中,則使用者在 SID 層級上將是相同的。
一種類似的方法是在每個安裝上建立一個群組,然後嘗試編輯一個安裝的 SAM 文件,將其 SID 更改為另一個安裝使用的 SID。由於密碼重設工具會修改 SAM,這可能是可能的方法。
我自己從未嘗試過 - 因此在嘗試此類方法之前,請確保您對系統進行了完整備份...