Auswirkungen von CREATOR_OWNER und CREATOR_GROUP auf Sicherheit

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 126629 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel beschreibt die CREATOR_OWNER und CREATOR_GROUP Sicherheitskennungen (SID) und die Auswirkungen auf Sicherheit.

Weitere Informationen

Wenn angemeldet, wird jeder Benutzer von einem token-Objekt dargestellt. Dieses Token enthält alle SIDs, die Ihrem Sicherheitskontext. Token Identifizieren eines diese SIDs als Besitzer standardmäßig für alle neuen Objekte, die der Benutzer z. B. Dateien, Prozesse, Ereignisse und usw. erstellt. <domain><username>Normalerweise ist dies das Konto des Benutzers (<domäne> \ <benutzername>). Ein Administrator ist jedoch der standardmäßige Besitzer festgelegt werden von der lokalen Gruppe "Administratoren", anstatt die einzelnen Benutzerkonto.

Jedes Token identifiziert auch eine primäre Gruppe für den Benutzer. Diese Gruppe keine unbedingt an der Benutzer ein Mitglied ist (obwohl es in der Standardeinstellung ist) und bestimmt nicht die Objekte ein Benutzer Zugriff hat (, es ist nicht in verwendet Zugriffsentscheidungen Überprüfung). Erstellt jedoch Sie als primäre Gruppe für Objekte zugewiesen ist standardmäßig der Benutzer. Zum größten Teil die primäre Gruppe ist einfach für POSIX-Kompatibilität erforderlich, aber die primäre Gruppe spielen eine Rolle Objekterstellung.

Wenn ein neues Objekt erstellt wird, hat das Sicherheitssystem die Aufgabe das neue Objekt Schutz zuweisen. Das System folgt diesem Prozess:
  1. Weisen Sie das neue Objekt ein Schutz von der Objektersteller explizit übergeben.
  2. Weisen Sie andernfalls dem neuen Objekt alle vererbbaren Schutz aus dem Container, dem in das Objekt erstellt wird.
  3. Weisen Sie andernfalls das neue Objekt ein Schutz explizit übergeben vom Objektersteller-, jedoch als "Default".
  4. Andernfalls wenn der Aufrufer Token eine Standard-DACL verfügt, wird, das neue Objekt zugewiesen werden.
  5. Andernfalls wird kein Schutz des neuen Objekts zugewiesen.
In Schritt 2 wenn der übergeordnete Container vererbbare Zugriffssteuerung Einträge (Access Control Entry, ACE) enthält die dienen zum Schutz für das neue Objekt zu generieren. In diesem Fall wird jeder ACE ausgewertet, um anzuzeigen, wenn es in das neue Objekt Schutz kopiert werden sollen. Normalerweise, wenn ein ACE kopiert wird, wird die SID in die ACE unverändert kopiert. Die zwei Ausnahmen zu dieser Regel sind bei CREATOR_OWNER und CREATOR_GROUP. In diesem Fall wird die SID durch der Aufrufer Standardbesitzer-SID oder primären Gruppen-SID ersetzt.

Standardmäßig erhalten Benutzer zu Windows NT anmelden eine primäre Gruppe "Domänenbenutzer" (beim Anmelden an einem Windows NT Server) oder der Gruppe "None" (Wenn ein Windows NT Workstation-System anmelden). Daher, wenn Sie ein Objekt in einem Container, die einen vererbbaren ACE mit der CREATOR_GROUP-SID hat erstellen, werden Sie wahrscheinlich am Ende mit einem ACE Domänenbenutzer einige Zugriff gewähren. Dies ist möglicherweise nicht wie gewünscht.

Eigenschaften

Artikel-ID: 126629 - Geändert am: Dienstag, 21. November 2006 - Version: 4.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Win32 Application Programming Interface, wenn verwendet mit:
    • Microsoft Windows NT 4.0
    • Microsoft Windows NT 4.0
    • the operating system: Microsoft Windows 2000
    • the operating system: Microsoft Windows XP
Keywords: 
kbmt kbacl kbhowto kbkernbase kbprogramming kbsecurity KB126629 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 126629
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com