Que grupo interno do Windows devo usar para permissões NTFS no Win7 de inicialização dupla?

Navegue suas respostas
4

Ainda estou usando dual-boot em alguns dos meus computadores, por isso tenho duas instalações do Windows 7 em execução. A maioria dos dados está em uma partição em um disco rígido separado que ambas as instalações usam.

Para determinados arquivos, preciso definir a permissão NTFS. Se eu fizer isso usando uma conta de usuário ou um grupo de janelas personalizado, ela funcionará bem em uma instalação. Ao inicializar na segunda instalação, o usuário não tem acesso aos arquivos porque as entradas nas ACLs são específicas da conta da primeira instalação (e são mostradas como 'desconhecidas' no diálogo de segurança)

Para contornar isso, eu poderia usar um dos grupos internos do Windows. Seus sid's são os mesmos em todas as instalações do Windows.

A questão é qual dos grupos internos usar? Quero dar ao usuário o mínimo possível de permissões extras: 

Administrators                  S-1-5-32-544
Backup Operators                S-1-5-32-551
Cryptographic Operators         S-1-5-32-569
Distributed COM Users           S-1-5-32-562
Event Log Readers               S-1-5-32-573
Guests                          S-1-5-32-546
IIS_IUSRS                       S-1-5-32-568
Network Configuration Operators S-1-5-32-556
Performance Log Users           S-1-5-32-559
Performance Monitor Users       S-1-5-32-558
Power Users                     S-1-5-32-547
Remote Desktop Users            S-1-5-32-555
Replicator                      S-1-5-32-552
Users                           S-1-5-32-545

Eu não quero usar administradores, operadores de backup ou usuários avançados, porque as contas desses grupos têm permissões poderosas. Qual dos restantes é o menos "poderoso"?

Eu também não posso usar "Convidados" porque eles não devem ter acesso aos arquivos.

Não consigo usar 'usuários' porque cada usuário normal está nesse grupo, mas nem todos os usuários deve ter acesso aos arquivos em questão.

    
por Peter Hahndorf 25.01.2012 / 14:36

3 respostas

1

Parece no Windows Vista e, posteriormente, o grupo Usuários avançados perdeu quase todos os seus poderes e seus membros são essencialmente tão poderosos quanto os membros do grupo "usuários".

Assim, o grupo Usuários avançados é um bom candidato para o requisito especificado.

Além disso, o grupo "Replicator" não possui direitos de usuário adicionais e o AFAIK não tem permissões para nenhum objeto com segurança. É um grupo herdado dos dias do Windows NT.

Se você estiver usando servidores, o grupo 'Print Operators' é outro candidato.

Editar: Acontece que tanto o grupo "Power Users" quanto o grupo "Print Operators" não trabalham para essa finalidade. Mesmo quando um usuário é um membro desses grupos e os grupos dizem permissões de gravação para um recurso, o usuário não tem acesso de gravação ao recurso.

Como o grupo de administradores, esses grupos são especiais e, quando um usuário está no grupo, ele recebe um token dividido no logon. As permissões obtidas por meio dessa associação de grupo não estão em seu token de usuário padrão e, portanto, ele não tem acesso ao recurso.

Você pode ver isso digitando 

whoami /groups

O grupo "Usuários avançados" tem um atributo de: 

Group used for deny only

O grupo 'Usuários da Área de Trabalho Remota' não tem isso, mas tem o efeito colateral que habilita o usuário a efetuar logon através do RDP. Assim, o único grupo que pode ser usado para isso é o Replicator group

    
por 17.05.2012 / 21:18
3

1 palavra. Usuários.

Os usuários são basicamente todos que podem ser autenticados por essa máquina localmente.

    
por 25.01.2012 / 15:04
0

Uma abordagem muito experimental seria fazer com que ambas as instalações do Windows usem o mesmo banco de dados de usuário (SAM).

Se você conseguisse copiar o arquivo SAM ( \Windows\System32\config\SAM ) da instalação 1 para a instalação 2, os usuários seriam idênticos ao nível do SID.

Uma abordagem semelhante seria criar um grupo em cada instalação e, em seguida, tentar editar o arquivo SAM de uma instalação, alterando seu SID o usado pela outra instalação. Como as ferramentas de redefinição de senha modificam o SAM, isso pode ser uma maneira possível.

Eu nunca tentei isso sozinho - portanto, antes de tentar essas abordagens, certifique-se de ter um backup completo do seu sistema ...

    
por 26.01.2012 / 11:38

Tags

SSH login remoto sem senha é muito lento Como eu configuro o programa que “Edit” no menu de contexto é aberto?