Comment CREATOR_OWNER et CREATOR_GROUP affectent la sécurité

Traductions disponibles Traductions disponibles
Numéro d'article: 126629 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Cet article traite les identificateurs de sécurité (SID) CREATOR_OWNER et CREATOR_GROUP et comment ils affectent la sécurité.

Plus d'informations

Une fois que vous avez ouvert une session, chaque utilisateur est représenté par un objet-jeton. Ce jeton contient tous les identificateurs de sécurité comprenant votre contexte de sécurité. Jetons identifient un de ces SID comme propriétaire par défaut pour tous les objets que l'utilisateur crée, tels que les fichiers, des processus, des événements et ainsi de suite. <domain><username>En général, il s'agit du compte d'utilisateur (<domaine>\ <nom_utilisateur>). Pour un administrateur en revanche, le propriétaire par défaut est défini pour être le groupe local «Administrateurs», plutôt que le compte d'utilisateur de la personne.

Chaque jeton identifie également un groupe principal de l'utilisateur. Ce groupe ne doit pas nécessairement s'agir de l'utilisateur est membre de (bien qu'il s'agit par défaut) et elle ne détermine pas les objets d'un utilisateur a accès à (autrement dit, il n'est pas utilisé dans les décisions de validation d'accès). Toutefois, par défaut, qu'il est affecté en tant que groupe principal des objets de l'utilisateur crée. Pour l'essentiel, le groupe principal est requis simplement pour assurer la compatibilité POSIX, mais le groupe principal joue un rôle dans la création de l'objet.

Lorsqu'un nouvel objet est créé, le système de sécurité a la tâche d'attribution de protection pour le nouvel objet. Le système suit ce processus :
  1. Assignez le nouvel objet aucune protection passée explicitement par le créateur d'objet.
  2. Sinon, assignez le nouvel objet aucune protection pouvant être héritée du conteneur de que l'objet est créé dans.
  3. Sinon, assignez le nouvel objet aucune protection explicitement passées par le créateur d'objet, mais marqué comme "default".
  4. Sinon, si le jeton de l'appelant possède une DACL par défaut, qui sera assignée au nouvel objet.
  5. Dans le cas contraire, aucune protection n'est attribuée au nouvel objet.
Dans l'étape 2, si le conteneur parent possède des entrées de contrôle d'accès héritable (ACE), ceux sont utilisés pour générer de protection pour le nouvel objet. Dans ce cas, chaque ACE est évaluée pour voir si elle doit être copiée à la protection du nouvel objet. Généralement, lorsqu'une entrée de contrôle d'accès (ACE) est copiée, le SID au sein de cette entrée est copié tels quels. Les deux exceptions à cette règle sont lorsque vous rencontrez des CREATOR_OWNER et CREATOR_GROUP. Dans ce cas, le SID est remplacé par l'appelant SID du propriétaire par défaut ou SID de groupe principal.

Par défaut, les utilisateurs se connectent à Windows NT ont accès à un groupe principal de «Utilisateurs du domaine» (lors de l'ouverture de session sur un serveur Windows NT) ou le groupe appelé «None» (lorsqu'il ouvre une session sur un système Windows NT Workstation). Par conséquent, lorsque vous créez un objet dans un conteneur qui a une entrée de contrôle d'accès (ACE) pouvant être héritée avec le SID CREATOR_GROUP, vous serez probablement à même retrouver avec une entrée de contrôle d'accès accordant utilisa certains accès. Cela peut ne pas être correctes.

Propriétés

Numéro d'article: 126629 - Dernière mise à jour: mardi 21 novembre 2006 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Win32 Application Programming Interface sur le système suivant
    • Microsoft Windows NT 4.0
    • Microsoft Windows NT 4.0
    • the operating system: Microsoft Windows 2000
    • the operating system: Microsoft Windows XP
Mots-clés : 
kbmt kbacl kbhowto kbkernbase kbprogramming kbsecurity KB126629 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 126629
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com