Cómo CREATOR_OWNER y CREATOR_GROUP afectan a la seguridad

Seleccione idioma Seleccione idioma
Id. de artículo: 126629 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

Este artículo describen los identificadores de seguridad (SID) CREATOR_OWNER y CREATOR_GROUP y cómo afectan a la seguridad.

Más información

Al iniciar la sesión, cada usuario está representado por un objeto símbolo (token). Este token contiene todos los SID que componen el contexto de seguridad. Símbolos (tokens) identifica uno de estos SID como un propietario predeterminado para los nuevos objetos que crea el usuario, como archivos, procesos, sucesos y así sucesivamente. <domain><username>Normalmente se trata de la cuenta del usuario (<dominio> \ <nombredeusuario>). Para un administrador sin embargo, el propietario predeterminado se establece que el grupo local "Administradores", en lugar de cuenta de usuario de la persona.

Cada símbolo también identifica un grupo principal para el usuario. Este grupo no tiene necesariamente que el usuario es un miembro de (aunque es de forma predeterminada) y no determina los objetos a un usuario tiene acceso (es decir, no se usa en las decisiones de validación de acceso). Sin embargo, se asigna como el grupo principal de los objetos de forma predeterminada el usuario crea. La mayoría de los casos, el grupo principal es necesario sólo para compatibilidad con POSIX, pero el grupo principal desempeñan un papel en la creación de objetos.

Cuando se crea un nuevo objeto, el sistema de seguridad tiene la tarea de asignar protección al nuevo objeto. El sistema sigue este proceso:
  1. Asigne el nuevo objeto ninguna protección explícitamente pasada por el creador del objeto.
  2. En caso contrario, asigne ninguna protección heredable desde el contenedor que se crea el objeto en el nuevo objeto.
  3. En caso contrario, asigne el nuevo objeto ninguna protección explícitamente pasado por el creador del objeto, pero marcada como "predeterminada".
  4. En caso contrario, si el testigo del llamador tiene una DACL predeterminada, que se asignará al nuevo objeto.
  5. En caso contrario, no se asigna protección al nuevo objeto.
En el paso 2, si el contenedor primario tiene entradas de control de acceso heredables (ACE), las se utilizan para generar la protección para el nuevo objeto. En este caso, se evalúa cada ACE para ver si se debe copiar protección del nuevo objeto. Normalmente, cuando se copia una ACE, se copiará el SID dentro de esa ACE tal como está. Las dos excepciones a esta regla son cuando se encuentran CREATOR_OWNER y CREATOR_GROUP. En este caso, el SID se sustituye por el llamador SID de propietario predeterminado o SID de grupo principal.

De forma predeterminada, los usuarios iniciar sesión en Windows NT tienen un grupo principal de "usuarios de dominio" (al iniciar sesión en un servidor Windows NT) o el grupo denominado "None" (cuando inicia sesión en un sistema de Windows NT Workstation). Por lo tanto, cuando crea un objeto en un contenedor que tiene una ACE heredable con el SID CREATOR_GROUP, podrá probablemente acabará con una ACE concede algunos acceso de usuarios del dominio. No puede ser lo que pretende.

Propiedades

Id. de artículo: 126629 - Última revisión: martes, 21 de noviembre de 2006 - Versión: 4.1
La información de este artículo se refiere a:
  • Microsoft Win32 Application Programming Interface sobre las siguientes plataformas
    • Microsoft Windows NT 4.0
    • Microsoft Windows NT 4.0
    • the operating system: Microsoft Windows 2000
    • the operating system: Microsoft Windows XP
Palabras clave: 
kbmt kbacl kbhowto kbkernbase kbprogramming kbsecurity KB126629 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 126629

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com