Операционные системы, среды и оболочки. Макаренко С.И. - 165 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

DACL и SACL содержат разрешающие и запрещающие доступ списки
пользователей и групп, а также списки пользователей, чьи попытки доступа к
данному объекту подлежат аудиту.
Структура каждого ACL списка проста. Это набор записей ACE (Access
Control Entry), каждая запись содержит SID и перечень прав,
предоставленных субъекту с этим SID.
На примере, изображенном на рис. 11.8, владелец файла Александр
имеет право на все операции с данным файлом, всем остальным обычно
дается только право на чтение, а Павлу запрещены все операции. Таким
образом, список DACL описывает все права доступа к объекту. Если этого
списка нет, то все пользователи имеют все права; если этот список
существует, но он пустой, права имеет только его владелец.
Рис. 11.8. Структура дескриптора защиты для файла
В списке ACL есть записи ACE двух типов - разрешающие и
запрещающие доступ. Разрешающая запись содержит SID пользователя или
группы и битовый массив (access mask), определяющий набор операций,
которые процессы, запускаемые этим пользователем, могут выполнять с
данным объектом. Запрещающая запись действует аналогично, но в этом
случае процесс не может выполнять перечисленные операции.
Кроме списка DACL дескриптор защиты включает также список SASL,
который имеет такую же структуру, что и DACL, то есть состоит из таких же
ACE записей, только вместо операций, регламентирующих доступ к объекту,
в нем перечислены операции, подлежащие аудиту. В примере на рис. 11.8
операции с файлом процессов, запускаемых Сергеем, описанные в
165
     DACL и SACL содержат разрешающие и запрещающие доступ списки
пользователей и групп, а также списки пользователей, чьи попытки доступа к
данному объекту подлежат аудиту.
      Структура каждого ACL списка проста. Это набор записей ACE (Access
Control Entry), каждая запись содержит SID и перечень прав,
предоставленных субъекту с этим SID.
      На примере, изображенном на рис. 11.8, владелец файла Александр
имеет право на все операции с данным файлом, всем остальным обычно
дается только право на чтение, а Павлу запрещены все операции. Таким
образом, список DACL описывает все права доступа к объекту. Если этого
списка нет, то все пользователи имеют все права; если этот список
существует, но он пустой, права имеет только его владелец.




           Рис. 11.8. Структура дескриптора защиты для файла

     В списке ACL есть записи ACE двух типов - разрешающие и
запрещающие доступ. Разрешающая запись содержит SID пользователя или
группы и битовый массив (access mask), определяющий набор операций,
которые процессы, запускаемые этим пользователем, могут выполнять с
данным объектом. Запрещающая запись действует аналогично, но в этом
случае процесс не может выполнять перечисленные операции.
     Кроме списка DACL дескриптор защиты включает также список SASL,
который имеет такую же структуру, что и DACL, то есть состоит из таких же
ACE записей, только вместо операций, регламентирующих доступ к объекту,
в нем перечислены операции, подлежащие аудиту. В примере на рис. 11.8
операции с файлом процессов, запускаемых Сергеем, описанные в



                                   165

Страницы