Como CREATOR_OWNER e CREATOR_GROUP afectam a segurança

Traduções de Artigos Traduções de Artigos
Artigo: 126629 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sumário

Este artigo aborda os identificadores de segurança CREATOR_OWNER e CREATOR_GROUP (SID) e como afectam a segurança.

Mais Informação

Quando tiver sessão iniciada, cada utilizador é representado por um objecto token. Este token contém todos os SID que constituem o contexto de segurança. Tokens de identificam um os SID como um proprietário predefinido para os novos objectos que o utilizador cria, tais como ficheiros, processos, eventos e por aí em diante. <domain><username>Normalmente, esta é a conta de utilizador (<domínio> \ <utilizador>). Para que um administrador no entanto, o proprietário predefinido é definido para ser o grupo local "Administrators", em vez de conta de utilizador a pessoa.

Cada token também identifica um grupo primário do utilizador. Este grupo não tem necessariamente seja um utilizador for membro de (Embora seja por predefinição) e não determina os objectos de um utilizador tem acesso para (ou seja, não é utilizado em decisões de validação de acesso). No entanto, por predefinição, que é atribuído como grupo primário de quaisquer objectos do utilizador cria. Na maior parte dos casos, o grupo primário é necessário apenas para compatibilidade com POSIX, mas o grupo primário desempenham um papel na criação do objecto.

Quando é criado um novo objecto, o sistema de segurança tem a tarefa de atribuir protecção ao novo objecto. O sistema segue este processo:
  1. Atribua o novo objecto qualquer protecção explicitamente transmitida pelo criador do objecto.
  2. Caso contrário, atribua o novo objecto qualquer protecção herdável do contentor que de objecto é criado no.
  3. Caso contrário, atribuir o novo objecto qualquer protecção explicitamente transmitido pelo criador do objecto mas marcados como "predefinido".
  4. Caso contrário, se de tokens o autor da chamada tem uma DACL predefinida, que será atribuído ao novo objecto.
  5. Caso contrário, sem protecção é atribuída ao objecto novo.
No passo 2, se contentor principal tem entradas de controlo de acesso herdáveis (ACE, Access Control ENTRY), aqueles são utilizados para gerar protecção para o novo objecto. Neste caso, cada ACE é avaliado para ver se devem ser copiado para protecção o novo objecto. Normalmente, quando uma ACE é copiada, é copiado o SID dentro dessa ACE tal como está. Se as duas excepções a esta regra CREATOR_OWNER e CREATOR_GROUP são encontrados. Neste caso, o SID é substituído pelo proprietário predefinido SID ou SID do grupo primário do emissor.

Por predefinição, os utilizadores iniciam sessão no Windows NT tiverem um grupo primário de "Utilizadores do domínio" (ao iniciar sessão Windows NT Server) ou ao grupo denominado "None" (quando a sessão num sistema Windows NT Workstation). Por conseguinte, quando cria um objecto num contentor que tem uma ACE herdável com o SID CREATOR_GROUP, irá provavelmente ficar com uma ACE conceder algumas acesso de utilizadores do domínio. Isto poderá não ser que pretendia.

Propriedades

Artigo: 126629 - Última revisão: 21 de novembro de 2006 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Win32 Application Programming Interface nas seguintes plataformas
    • Microsoft Windows NT 4.0
    • Microsoft Windows NT 4.0
    • the operating system: Microsoft Windows 2000
    • the operating system: Microsoft Windows XP
Palavras-chave: 
kbmt kbacl kbhowto kbkernbase kbprogramming kbsecurity KB126629 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 126629

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com