CREATOR_OWNER 和 CREATOR_GROUP 如何影響安全性

文章編號: 126629 - 檢視此文章適用的產品。

檢視機器翻譯免責聲明

按一下這裡顯示機器翻譯的中英文對照

全部展開 | 全部摺疊

結論

本文將告訴您 CREATOR_OWNER 和 CREATOR_GROUP] 安全性識別碼 (SID)，以及它們如何影響安全性。

當登入，每一位使用者是以語彙基元物件表示。此語彙基元包含組成安全性內容的所有 SID。語彙基元 (Token) 會識別其中一個那些 SID 為任何新的物件，例如檔案、處理序、事件和等使用者建立的預設擁有者。這通常，是使用者的帳戶 (<domain>\ <username>)。系統管理員但是，預設擁有者也將設定為本機群組」系統管理員」而不是個人的使用者帳戶。

每個語彙基元也會識別使用者的主要群組。此群組不一定具有是其中一個使用者是的成員 (雖然它是根據預設值)，且它不會判斷使用者具有存取權的物件 (也就是它不能用在存取驗證決策)。不過，依預設指派為任何物件的主要群組使用者建立。在大多數的情況下，主要群組只是需要 POSIX 相容性，但主要群組不會在物件建立中扮演的角色)。

當您建立新的物件時的安全性系統會了將保護指派給新的物件的工作。系統會依照此程序：

指派新的物件任何保護明確地在以傳址方式傳遞物件建立者。
否則，指派新的物件從容器中建立物件的任何可繼承保護。
否則，指派新的物件任何保護明確地在以傳址方式傳遞在物件建立者，但標示為「預設]。
否則，如果呼叫者的語彙基元 (Token) 預設 DACL，會指派至新的物件。
否則，沒有保護被指派給新的物件。

第 2 步驟中如果父容器具有可繼承的存取控制項目 (ACE) 的那些用來產生新的物件的保護。在這種情況下每個 ACE 會評估是否應複製到新物件的保護，請參閱。通常，複製 ACE 內該 ACE SID 會複製原狀。兩個的例外狀況，這項規則是遇到 CREATOR_OWNER 和 CREATOR_GROUP 時。在這種情況下就會以呼叫者的預設擁有者 SID 或主要群組的 SID 取代 SID。

預設情況下，登入 Windows NT 的使用者被授予「網域使用者」在登入 Windows NT Server) 時的主要群組或群組稱為「無」登入 Windows NT 工作站系統) 時。因此，具有可繼承 ACE CREATOR_GROUP SID 的容器中建立物件時, 您可能會得到授與網域使用者某些存取 ACE。這可能不是您所要的動作。

屬性

文章編號: 126629 - 上次校閱: 2006年11月21日 - 版次: 4.1

這篇文章中的資訊適用於:

Microsoft Win32 Application Programming Interface?應用於:

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0
the operating system: Microsoft Windows 2000
the operating system: Microsoft Windows XP

kbmt kbacl kbhowto kbkernbase kbprogramming kbsecurity KB126629 KbMtzh

機器翻譯

重要：本文是以 Microsoft 機器翻譯軟體翻譯而成，而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章，讓使用者可以依其使用語言使用知識庫中的所有文章。但是，機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤，就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本：126629

(http://support.microsoft.com/kb/126629/en-us/ )

Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應，不負任何擔保責任。Microsoft及(或)其供應商謹此聲明，不負任何對與此資訊有關之擔保責任，包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。