关于用户与组安全控制

T_bug

推荐6月的Tech net magzine两篇文章\r\n“首先从UAC and ACL为话题对于用户的中权限和ACL 增强功能如何提供更好的权限控制进行了解！”\r\n\r\n\r\n\r\n深入了解 Windows Vista 用户帐户控制\r\n新 ACL 改进 Windows Vista 的安全性\r\n\r\n默认 ACL\r\n\r\nWindows XP 中的默认 ACL 其实相当不错。除了一些小问题（比如允许用户将文件放在引导卷的根目录下），它们总体来说是有实际意义的。但是，一些 OEM 显然认为他们更清楚合理的安全性由什么构成。图 4 中的屏幕显示了某计算机 Windows 目录上的 ACL 图片，该计算机运行来自一家主要 OEM 的 Windows XP Media Center Edition。该 OEM 实质上禁用了文件系统安全性。\r\n\r\n\r\n一个经 OEM 配置的 ACL\r\nMicrosoft 在 Windows Vista 中对 ACL 进行了一些调整。首先，如果您熟悉 Windows XP，您会知道所有的操作系统文件均由 Administrators 组所有，而且管理员对这些文件拥有完全控制。作为该组的一员，您可以不受限制地访问这些文件。在 Windows Vista 中则不然。\r\n\r\n可信的安装程序 在 Windows Vista 中，大多数操作系统文件由 TrustedInstaller SID 所有，而且只有该 SID 才对这些文件具有完全控制。这是加入 Windows Vista 的系统完整性工程的一部分，其目的专门在于防止作为管理员或“本地系统”运行的进程自动替换这些文件。因此，要删除操作系统文件，您需要获得该文件的所有权，然后对其添加一个允许您删除它的 ACE。这提供了一种保护薄层，以防范作为 LocalSystem 运行并拥有 System 完整性标签的进程；具有较低完整性的进程不应具有提升自己以更改所有权的能力。例如，有些服务虽然作为“本地系统”运行，但它们运行时的完整性却为中级。此类服务无法替换系统文件，所以试图接管某个系统文件的操作将无法替换操作系统文件，这稍微增加了在系统上安装 rootkit 或其他恶意软件的难度。同样，如果系统管理员对某些系统二进制文件的存在感到不愉快，要删除这些二进制文件，难度也增加了。\r\n\r\nDeny ACE 您会发现，文件系统中的许多对象都有针对 Everyone 的 Deny ACE，这使许多管理员感到惊愕。如果您打开“显示隐藏文件选项”，您会看到熟悉的“Documents and Settings”目录。但如果您单击它，则会收到“拒绝访问”错误。要了解“Documents and Settings”发生了什么\r\n\r\n“Documents and Settings”是一个交接点，而非目录 \r\n图 5 “Documents and Settings”是一个交接点，而非目录 \r\n“Documents and Settings”实际上根本不是目录 — 它是一个交接点！请记住，交接点类似于符号链接，只是将访问重定向到别处。在本例中，交接点指向名为 C:\\Users 的目录。Microsoft 在 Windows Vista 中大幅修改了文件系统命名空间，用户数据现在已移至 C:\\Users。位于旧“C:\\Documents and Settings\\<Username>”命名空间之下的其他元素都已迁移。例如，“C:\\Documents and Settings\\<Username>\\Application Data”已移至 C:\\Users\\<username>\\appdata\\roaming。如果您转至命令行并使用 dir /a 命令（就像我在图 5 中所做的），您可以清楚地看到这些变化。命名空间发生如此巨大变化的原因是为了使它对于用户更加直观，并更清晰地分隔文档和数据。开发人员现在可以在用户配置文件下创建自己的文件夹（而不用将所有数据文件存储在“我的文档”文件夹中），然后用户会在那里看到它们。所有用户的应用程序数据现在进入了名为 %systemroot%\\ProgramData 的隐藏文件夹，而不再位于 Documents and Settings\\All Users\\Application Data 下。\r\n\r\nMicrosoft 未删除“C:\\Documents and Settings”命名空间，因为早期的应用程序可能已经硬编码为使用该名称，而不是首选的环境变量，比如 %USERPROFILE%。如果“C:\\Documents and Settings”消失，这些应用程序将崩溃。作为一种替代方法，它们现在以交接点或符号链接的形式出现，以实现向后兼容。对这些路径进行硬编码的应用程序可能仍会崩溃，这取决于它们访问数据的方式，不过这些应用程序在非英语版本的 Windows 上已经错误百出。这是相当关键的。如果对 Windows（如 Windows XP SP2 或 Windows Vista）更新使第三方程序崩溃，这通常几乎都是因为这些程序的开发人员进行了无效的假设或以不恰当的方式使用了 Windows。\r\n\r\n例如，如果您试图通过键入“C:\\Documents and Settings\\<Username>\\My Documents\\foo.txt”打开文件（假设您在该位置拥有一个名为 foo.txt 的文件），该文件将被打开。但是，如果您试图浏览至“C:\\Documents and Settings\\<Username>\\My Documents”，您会收到“拒绝访问”的错误消息。

T_bug

各位高手：\r\n   您们好！我的局域网里有60台电脑左右，但是能上网（能上internet）的就只有两三台机，因为出去外网的带宽有限（钱不够，所以慢，不够宽），只能给两三台电脑一起上internet，所以，每次进行XP的系统更新，都要一台一台电脑地亲自去操作，真的晕了。。。。\r\n所以想问一问有没有办法能够把XP的系统更新程序保存下来，然后再新建一个共享文件夹，把XP的更新程序都放进去，然后共享给其它\r\n用户，让他们自已去更新。不知道有没有办法能够把XP的系统更新程序保存下来呢？或者有没有这样的软件可以做得到呢？不然，每次都\r\n要上internet，然后连接微软的网站去更新，好慢好慢哦，真的晕了。。。。\r\n   有劳各位了，谢谢！