我的一些电脑仍在使用双启动,所以我有两个 Windows 7 安装运行。大多数数据都位于两个安装使用的单独硬盘上的分区中。
对于某些文件,我需要设置 NTFS 权限,如果我使用用户帐户或自定义 Windows 组执行此操作,则在一次安装中可以正常工作。当启动到第二次安装时,用户无法访问这些文件,因为 ACL 中的条目特定于第一次安装中的帐户(并在安全对话框中显示为“未知”)
为了解决这个问题,我可以使用内置的 Windows 组之一。它们的 sid 在所有 Windows 安装中都是相同的。
问题是使用哪个内置组?我想给用户尽可能少的额外权限:
Administrators S-1-5-32-544
Backup Operators S-1-5-32-551
Cryptographic Operators S-1-5-32-569
Distributed COM Users S-1-5-32-562
Event Log Readers S-1-5-32-573
Guests S-1-5-32-546
IIS_IUSRS S-1-5-32-568
Network Configuration Operators S-1-5-32-556
Performance Log Users S-1-5-32-559
Performance Monitor Users S-1-5-32-558
Power Users S-1-5-32-547
Remote Desktop Users S-1-5-32-555
Replicator S-1-5-32-552
Users S-1-5-32-545
我不想使用管理员、备份操作员或高级用户,因为这些组中的帐户具有强大的权限。 其余哪个是最不“强大”的?
我不能使用“访客”,因为他们无权访问这些文件。
我不能使用“用户”,因为每个普通用户都属于该组,但并非每个用户都应该有权访问相关文件。
答案1
1 个词。用户。
用户基本上是所有可以通过该机器本地验证的人。
答案2
在 Windows Vista 及更高版本中,“高级用户”组似乎失去了几乎所有的权力,其成员基本上与“用户”组的成员一样强大。
因此,高级用户组是满足给定要求的良好候选者。
此外,“复制器”组没有额外的用户权限,据我所知,它对任何可保护的对象都没有任何权限。它是 Windows NT 时代的遗留组。
如果您正在使用服务器,‘打印操作员’组是另一个候选者。
编辑: 事实证明,“高级用户”和“打印操作员”组都不能用于此目的。即使用户是这些组的成员,并且这些组对资源具有写入权限,用户也没有对该资源的写入权限。
与管理员组一样,这些组很特殊,当用户属于这些组时,他会在登录时获得一个分割令牌。通过此组成员身份获得的权限不在他的标准用户令牌中,因此他无权访问资源。
您可以通过输入来查看
whoami /groups
“高级用户”组具有以下属性:
Group used for deny only
“远程桌面用户”组没有此功能,但有一个副作用,即允许用户通过 RDP 登录。因此,唯一可用于此功能的组是复制器团体
答案3
一种非常实验性的方法是让两个 Windows 安装使用相同的用户数据库 (SAM)。
如果您可以设法将安装 1 的 SAM 文件 ( \Windows\System32\config\SAM) 复制到安装 2 中,则用户在 SID 级别上将会相同。
类似的方法是在每个安装上创建一个组,然后尝试编辑一个安装的 SAM 文件,将其 SID 更改为另一个安装使用的 SID。由于密码重置工具会修改 SAM,这可能是一种可行的方法。
我自己从来没有尝试过这样做 - 因此在尝试这种方法之前请确保你已对系统进行了完整备份...