Você está offline; aguardando reconexão

Como CREATOR_OWNER e CREATOR_GROUP afetam a segurança

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 126629
Sumário
Este artigo discute identificadores de segurança CREATOR_OWNER e CREATOR_GROUP (SID) e como eles afetam a segurança.
Mais Informações
Quando o logon, cada usuário é representado por um objeto token. Esse token contém todos os SIDs que compõem o contexto de segurança. Tokens de identificam um desses SIDs como um proprietário padrão de quaisquer novos objetos que cria o usuário, como arquivos, processos, eventos e assim por diante. <domain><username>Normalmente, essa é a conta do usuário (<domínio> \ <nomedousuário>). Para um administrador no entanto, o proprietário padrão é definido para ser o grupo "Administradores", em vez de conta de usuário do indivíduo.

Cada token também identifica um grupo primário para o usuário. Esse grupo não tem necessariamente ser o usuário é um membro da (Apesar de ser por padrão) e não determina os objetos que um usuário tem acesso para (ou seja, ele não é usado em decisões de validação de acesso). No entanto, por padrão, que ele é atribuído como o grupo primário de objetos do usuário cria. Para maior parte, o grupo primário é necessário apenas para compatibilidade POSIX, mas o grupo primário desempenham um papel na criação do objeto.

Quando um novo objeto é criado, o sistema de segurança tem a tarefa de atribuição de proteção para o novo objeto. O sistema segue esse processo:
  1. Atribua o novo objeto qualquer proteção explicitamente passada pelo criador do objeto.
  2. Caso contrário, atribua o novo objeto qualquer proteção herdável do recipiente que o objeto é criado no.
  3. Caso contrário, atribuir o novo objeto qualquer proteção explicitamente passado pelo criador do objeto, mas marcado como "padrão".
  4. Caso contrário, se o token do chamador tiver uma DACL padrão, que serão atribuídos para o novo objeto.
  5. Caso contrário, nenhuma proteção é atribuída ao novo objeto.
Na etapa 2, se o recipiente pai tiver entradas de controle de acesso herdáveis (ACE), aqueles são usados para gerar proteção para o novo objeto. Nesse caso, cada ACE é avaliada para ver se ele deve ser copiado para proteção do novo objeto. Normalmente, quando uma ACE é copiada, o SID dentro dessa ACE é copiado como está. As duas exceções a essa regra são quando CREATOR_OWNER e CREATOR_GROUP são encontrados. Nesse caso, o SID é substituído pelo chamador padrão proprietário SID ou grupo primário SID.

Por padrão, usuários fazendo logon para o Windows NT recebem um grupo primário de "usuários do domínio" (ao fazer logon em um servidor Windows NT) ou o grupo chamado "Nenhum" (ao fazer logon em um sistema Windows NT Workstation). Portanto, quando você cria um objeto em um recipiente que possui uma ACE herdável com o SID CREATOR_GROUP, você irá provavelmente terminar com uma ACE conceder algumas acesso de usuários do domínio. Isso pode não ser o que você pretendia.
3.50

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 126629 - Última Revisão: 11/21/2006 15:27:29 - Revisão: 4.1

Interface de Programação de Aplicativos do Microsoft Win32

  • kbmt kbacl kbhowto kbkernbase kbprogramming kbsecurity KB126629 KbMtpt
Comentários