ВУЗ:
111
членов этой группы не может быть изменен. Стандартные группы не могут
быть переименованы.
Чтобы однозначно идентифицировать пользователя или группу, Windows
NT использует идентификатор безопасности (Security Identifier, SID). При
создании новой учетной записи Windows NT генерирует очередной уникальный
SID, который будет применяться как идентификатор учетной записи в маркере
доступа и списках контроля доступа.
Среди преимуществ использования учетных записей
- возможность пере-
именования учетных записей (SID не меняется, следно, права и привилегии ос-
таются), и наоборот, при создании новой записи с именем, совпадающим со
старым и уже удаленным, гарантированно права не перейдут к новому пользо-
вателю.
Значения SID можно посмотреть, например, при помощи программы
GETSID.
8.2.2.4. Права и допуски
Для Windows NT определены такие понятия
как права (rights) и допуски
(permissions). Права определены для действий, а допуски - для объектов файло-
вой системы.
Списки пользователей и групп, которым предоставлены те или иные пра-
ва, хранятся в защищенной части реестра внутри куста
HKEY_LOCAL_MACHINE\SECURITY и применяются LSA в процессе созда-
ния маркера допуска.
4 права (Logon locally, Access this computer from the network, Logon as a
service, Logon as a batch job) действуют особо – определяют, какого типа вход
в
систему разрешен пользователю. Остальные являются в действительности сис-
темными привилегиями. Привилегии пользователя заносятся в маркер доступа.
В дальнейшем, прежде чем выполнить некоторый привилегированный запрос,
ос проверит, что маркер доступа, связанный с издавшим запрос процессом, со-
держит соответствующую привилегию. В момент запуска ОС все привилегии
регистрируются, и им присваивается локально уникальный
идентификатор
(Local Unique Identifier, LUID) – это 8-байтовое число, «локально уникальный»
– т.е. уникальность обеспечивается только в пределах одного компа и на время
работы ОС. Перед выполнением привилегированных действий система прове-
ряет наличие в марке доступа именно LUID, соответствующего требуемой при-
вилегии.
При входе пользователя в систему LSA создает маркер доступа. Вместо
имени пользователя и групп
в маркере указываются их идентификаторы безо-
пасности.
Маркер доступа связывается с каждым запускаемым пользователем про-
цессом. Монитор безопасности использует маркер доступа при попытке про-
цесса получить доступ к объекту. SID из маркера связываются с имеющимися в
списке контроля доступа, связанном с объектом.
Страницы
- « первая
- ‹ предыдущая
- …
- 109
- 110
- 111
- 112
- 113
- …
- следующая ›
- последняя »
