Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

Invloed van CREATOR_OWNER en CREATOR_GROUP op beveiliging

BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.

126629
Samenvatting
Dit artikel worden besproken de beveiliging van de CREATOR_OWNER en CREATOR_GROUPid's (SID) en de invloed op beveiliging.
Meer informatie
Wanneer u bent aangemeld, wordt elke gebruiker vertegenwoordigd door een token object. Dit tokenbevat alle SID's die uw beveiligingscontext. Tokens identificereneen van deze SID als standaardeigenaar van een voor alle nieuwe objecten die de gebruiker maakt,zoals bestanden, processen, gebeurtenissen, enzovoort. Dit is meestal degebruikersaccount (<domain>\<username>). Een beheerder echter destandaardeigenaar is ingesteld op de lokale groep 'Beheerders', plaatsde afzonderlijke gebruikersaccount.</username></domain>

Elke token geeft ook een primaire groep voor de gebruiker. Deze groep heeftniet noodzakelijkerwijs moet een door de gebruiker lid van is (maar doorstandaard) en het bepaalt niet de objecten een gebruiker toegang heeft tot (is het niet wordt gebruikt in access validatie besluiten). Echter door standaardAls de primaire groep van de gebruiker maakt objecten toegewezen. Voor dede meeste deel de primaire groep is vereist voor POSIX-compatibiliteitmaar de primaire groep speelt een rol in object maken.

Wanneer een nieuw object wordt gemaakt, heeft het beveiligingssysteem van de taak vanbeveiliging toewijzen aan het nieuwe object. Het systeem volgt dit proces:
  1. Het nieuwe object toewijzen enige bescherming doorgegeven expliciet door de Maker van het object.
  2. Anders het nieuwe object toewijzen alle overneembare tegen de het object container wordt gemaakt in.
  3. Anders het nieuwe object alle expliciet doorgegeven door beveiliging toewijzen de maker van het object, maar gemarkeerd als 'default'.
  4. Anders als de aanroeper token een standaard DACL heeft, die zal worden toegewezen aan het nieuwe object.
  5. Anders is geen bescherming toegewezen aan het nieuwe object.
In stap 2 als de bovenliggende container overgenomen toegangsbeheer posten heeft(ACE), die worden gebruikt voor het genereren van bescherming voor het nieuwe object. In dezegeval elke ACE wordt geëvalueerd als deze moet worden gekopieerd naar het nieuwe overzichtbescherming van het object. Meestal wanneer een ACE is gekopieerd, de SID dieACE is gekopieerd. De twee uitzonderingen op deze regel zijn als CREATOR_OWNERen CREATOR_GROUP zijn aangetroffen. In dit geval SID vervangende beller standaardeigenaar SID of primaire groep SID.

Standaard krijgen gebruikers die zich aanmelden bij Windows NT primaire groep'Domeingebruikers' (bij aanmelding op een Windows NT Server) of de naam van de groep'Geen' (bij het aanmelden op een systeem met Windows NT Workstation). Dus, wanneeru maakt een object in een container met een overneembaar ACE-object met deSID CREATOR_GROUP, zult u uiteindelijk een ACE toekenning van domeingebruikersSommige toegang. Dit kan niet juist zijn.
3,50

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 126629 - Laatst bijgewerkt: 07/11/2012 14:03:00 - Revisie: 4.0

  • Microsoft Win32-API
  • kbacl kbhowto kbkernbase kbprogramming kbsecurity kbmt KB126629 KbMtnl
Feedback
tLanguage(language);" class="ng-binding" tabindex="0" id="language-">