Effetti della protezione in CREATOR_OWNER e CREATOR_GROUP

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 126629
Sommario
In questo articolo viene descritto il CREATOR_OWNER e CREATOR_GROUP ID di protezione (SID) di e come questi influiscono sulla protezione.
Informazioni
Quando l'accesso, ogni utente è rappresentato da un oggetto token. Questo token contiene tutti i SID che comprende il contesto di protezione. Token identificano uno di questi SID come proprietario predefinito per nuovi oggetti creati dall'utente, ad esempio file, processi, eventi e così via. <domain><username>In genere si tratta dell'account utente (<dominio> \ <nomeutente>). Per un amministratore, tuttavia, il proprietario predefinito viene impostato da gruppo locale "Administrators", anziché account utente della persona.

Ogni token identifica inoltre un gruppo primario dell'utente. Questo gruppo non è necessariamente corrispondere a uno l'utente è un membro di (Sebbene sia per impostazione predefinita) e non determina gli oggetti a un utente può accedere a (vale a dire, non è utilizzata nelle decisioni di convalida di accesso). Tuttavia, per impostazione predefinita che viene assegnato come gruppo primario di tutti gli oggetti viene creato l'utente. Nella maggior parte dei casi, il gruppo primario è necessario semplicemente per garantire la compatibilità POSIX, ma il gruppo primario svolgono un ruolo nella creazione dell'oggetto.

Quando viene creato un nuovo oggetto, il sistema di protezione ha il compito di assegnazione di protezione a nuovo oggetto. Il sistema segue questo processo:
  1. Assegnare il nuovo oggetto alcuna protezione in modo esplicito passata dal creatore oggetto.
  2. In caso contrario, assegnare il nuovo oggetto alcuna protezione dal contenitore che viene creato l'oggetto ereditabili.
  3. In caso contrario, assegnare il nuovo oggetto alcuna protezione in modo esplicito passato dal creatore oggetto ma contrassegnata come "default".
  4. In caso contrario, se il token del chiamante dispone di un DACL predefinito, che verrà assegnato al nuovo oggetto.
  5. In caso contrario, nessuna protezione sarà assegnata al nuovo oggetto.
In passaggio 2, se il contenitore padre dispone di voci di controllo ereditabili di accesso (ACE), quelli vengono utilizzati per generare la protezione per il nuovo oggetto. In questo caso, ciascuna di ESSE viene valutata per vedere se dovrebbero essere copiato alla protezione del nuovo oggetto. In genere, quando viene copiata una voce di controllo di accesso, il SID all'interno di questa voce ACE viene copiato così com'è. Le due eccezioni a questa regola sono quando vengono rilevati CREATOR_OWNER e CREATOR_GROUP. In questo caso, il SID viene sostituito con SID del proprietario predefinito o un gruppo primario SID del chiamante.

Per impostazione predefinita, utenti che accedono a Windows NT sono assegnati un gruppo di primario di "Domain Users" (durante l'accesso a un Server Windows NT) o il gruppo denominato "None" (quando la registrazione in un sistema Windows NT Workstation). Di conseguenza, quando si crea un oggetto in un contenitore che dispone di una voce ACE ereditabile con quello CREATOR_GROUP, sarà probabilmente con una voce ACE concessione di alcuni accesso Domain Users. Questo potrebbe non essere quelli desiderati.
3.50

Avviso: questo articolo è stato tradotto automaticamente

Properti

ID Artikel: 126629 - Tinjauan Terakhir: 11/21/2006 15:27:29 - Revisi: 4.1

Microsoft Win32 Application Programming Interface

  • kbmt kbacl kbhowto kbkernbase kbprogramming kbsecurity KB126629 KbMtit
Tanggapan