Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Auswirkungen von CREATOR_OWNER und CREATOR_GROUP auf Sicherheit

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 126629
Zusammenfassung
Dieser Artikel beschreibt die CREATOR_OWNER und CREATOR_GROUP Sicherheitskennungen (SID) und die Auswirkungen auf Sicherheit.
Weitere Informationen
Wenn angemeldet, wird jeder Benutzer von einem token-Objekt dargestellt. Dieses Token enthält alle SIDs, die Ihrem Sicherheitskontext. Token Identifizieren eines diese SIDs als Besitzer standardmäßig für alle neuen Objekte, die der Benutzer z. B. Dateien, Prozesse, Ereignisse und usw. erstellt. <domain><username>Normalerweise ist dies das Konto des Benutzers (<domäne> \ <benutzername>). Ein Administrator ist jedoch der standardmäßige Besitzer festgelegt werden von der lokalen Gruppe "Administratoren", anstatt die einzelnen Benutzerkonto.

Jedes Token identifiziert auch eine primäre Gruppe für den Benutzer. Diese Gruppe keine unbedingt an der Benutzer ein Mitglied ist (obwohl es in der Standardeinstellung ist) und bestimmt nicht die Objekte ein Benutzer Zugriff hat (, es ist nicht in verwendet Zugriffsentscheidungen Überprüfung). Erstellt jedoch Sie als primäre Gruppe für Objekte zugewiesen ist standardmäßig der Benutzer. Zum größten Teil die primäre Gruppe ist einfach für POSIX-Kompatibilität erforderlich, aber die primäre Gruppe spielen eine Rolle Objekterstellung.

Wenn ein neues Objekt erstellt wird, hat das Sicherheitssystem die Aufgabe das neue Objekt Schutz zuweisen. Das System folgt diesem Prozess:
  1. Weisen Sie das neue Objekt ein Schutz von der Objektersteller explizit übergeben.
  2. Weisen Sie andernfalls dem neuen Objekt alle vererbbaren Schutz aus dem Container, dem in das Objekt erstellt wird.
  3. Weisen Sie andernfalls das neue Objekt ein Schutz explizit übergeben vom Objektersteller-, jedoch als "Default".
  4. Andernfalls wenn der Aufrufer Token eine Standard-DACL verfügt, wird, das neue Objekt zugewiesen werden.
  5. Andernfalls wird kein Schutz des neuen Objekts zugewiesen.
In Schritt 2 wenn der übergeordnete Container vererbbare Zugriffssteuerung Einträge (Access Control Entry, ACE) enthält die dienen zum Schutz für das neue Objekt zu generieren. In diesem Fall wird jeder ACE ausgewertet, um anzuzeigen, wenn es in das neue Objekt Schutz kopiert werden sollen. Normalerweise, wenn ein ACE kopiert wird, wird die SID in die ACE unverändert kopiert. Die zwei Ausnahmen zu dieser Regel sind bei CREATOR_OWNER und CREATOR_GROUP. In diesem Fall wird die SID durch der Aufrufer Standardbesitzer-SID oder primären Gruppen-SID ersetzt.

Standardmäßig erhalten Benutzer zu Windows NT anmelden eine primäre Gruppe "Domänenbenutzer" (beim Anmelden an einem Windows NT Server) oder der Gruppe "None" (Wenn ein Windows NT Workstation-System anmelden). Daher, wenn Sie ein Objekt in einem Container, die einen vererbbaren ACE mit der CREATOR_GROUP-SID hat erstellen, werden Sie wahrscheinlich am Ende mit einem ACE Domänenbenutzer einige Zugriff gewähren. Dies ist möglicherweise nicht wie gewünscht.
3.50

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 126629 – Letzte Überarbeitung: 11/21/2006 15:27:29 – Revision: 4.1

Microsoft Win32 Application Programming Interface

  • kbmt kbacl kbhowto kbkernbase kbprogramming kbsecurity KB126629 KbMtde
Feedback
/html> &t=">v>
did=1&t=">=4050&did=1&t=">0&did=1&t=">mentsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> >>mp;t="> + "//c.microsoft.com/ms.js'><\/script>");