Como CREATOR_OWNER e CREATOR_GROUP afetam a segurança

Traduções deste artigo Traduções deste artigo
ID do artigo: 126629 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sumário

Este artigo discute identificadores de segurança CREATOR_OWNER e CREATOR_GROUP (SID) e como eles afetam a segurança.

Mais Informações

Quando o logon, cada usuário é representado por um objeto token. Esse token contém todos os SIDs que compõem o contexto de segurança. Tokens de identificam um desses SIDs como um proprietário padrão de quaisquer novos objetos que cria o usuário, como arquivos, processos, eventos e assim por diante. <domain><username>Normalmente, essa é a conta do usuário (<domínio> \ <nomedousuário>). Para um administrador no entanto, o proprietário padrão é definido para ser o grupo "Administradores", em vez de conta de usuário do indivíduo.

Cada token também identifica um grupo primário para o usuário. Esse grupo não tem necessariamente ser o usuário é um membro da (Apesar de ser por padrão) e não determina os objetos que um usuário tem acesso para (ou seja, ele não é usado em decisões de validação de acesso). No entanto, por padrão, que ele é atribuído como o grupo primário de objetos do usuário cria. Para maior parte, o grupo primário é necessário apenas para compatibilidade POSIX, mas o grupo primário desempenham um papel na criação do objeto.

Quando um novo objeto é criado, o sistema de segurança tem a tarefa de atribuição de proteção para o novo objeto. O sistema segue esse processo:
  1. Atribua o novo objeto qualquer proteção explicitamente passada pelo criador do objeto.
  2. Caso contrário, atribua o novo objeto qualquer proteção herdável do recipiente que o objeto é criado no.
  3. Caso contrário, atribuir o novo objeto qualquer proteção explicitamente passado pelo criador do objeto, mas marcado como "padrão".
  4. Caso contrário, se o token do chamador tiver uma DACL padrão, que serão atribuídos para o novo objeto.
  5. Caso contrário, nenhuma proteção é atribuída ao novo objeto.
Na etapa 2, se o recipiente pai tiver entradas de controle de acesso herdáveis (ACE), aqueles são usados para gerar proteção para o novo objeto. Nesse caso, cada ACE é avaliada para ver se ele deve ser copiado para proteção do novo objeto. Normalmente, quando uma ACE é copiada, o SID dentro dessa ACE é copiado como está. As duas exceções a essa regra são quando CREATOR_OWNER e CREATOR_GROUP são encontrados. Nesse caso, o SID é substituído pelo chamador padrão proprietário SID ou grupo primário SID.

Por padrão, usuários fazendo logon para o Windows NT recebem um grupo primário de "usuários do domínio" (ao fazer logon em um servidor Windows NT) ou o grupo chamado "Nenhum" (ao fazer logon em um sistema Windows NT Workstation). Portanto, quando você cria um objeto em um recipiente que possui uma ACE herdável com o SID CREATOR_GROUP, você irá provavelmente terminar com uma ACE conceder algumas acesso de usuários do domínio. Isso pode não ser o que você pretendia.

Propriedades

ID do artigo: 126629 - Última revisão: terça-feira, 21 de novembro de 2006 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Interface de Programação de Aplicativos do Microsoft Win32 nas seguintes plataformas
    • Microsoft Windows NT 4.0
    • Microsoft Windows NT 4.0
    • the operating system: Microsoft Windows 2000
    • the operating system: Microsoft Windows XP
Palavras-chave: 
kbmt kbacl kbhowto kbkernbase kbprogramming kbsecurity KB126629 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 126629

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com