系统如何使用ACLs.docVIP

系统如何使用 ACLs 在系统之上被伐木的每个使用者用对于那的安全数据举行一个通路表征注册会议．当使用者登录的时候，系统产生一个通路表征．代表使用者被运行的每个程序有通路表征的副本．表征识别使用者，使用者的小组和使用者的特权．一个表征也包含一注册证明涌流的 SID（安全标识符）注册会议。 当一条线试着存取一个可到手的物体的时候， LSASS（当地的安全当局）或授与或者否认通路．做这， LSASS 在 SDS 数据水流中搜寻 DACL（任意的通路控制目录），找寻适用于线的么点．在物体 DACL 的每个么点叙述为安全被允许或者否认的通路权利主要的或者注册会议．如果物体的拥有者为那一个物体在 DACL 中还没有产生任何的么点，系统授与立刻存取。 如果 LSASS 找么点，它比较在每个么点中的受托人 SID 和在线通路表征中被识别的受托人 SID 。 系统调查序列的每个么点，直到下列事件之一发生： 一条通路－否认，么点明确地否认任何被请求的通路权利受托人之一在线通路表征中列出了。 在线通路表征中被列出的受托人的一或较多的允许通路的么点明确地允许所有的被请求的通路权利。 所有的么点已经被检查而且至少仍然有一请求通路权利哪一还没有明确地被允许，在哪一个情况，通路暗示地被否认。 么点的次序 因为当被请求的通路明确地被允许或者否认的时候，系统停止检查么点，在 DACL 的么点的次序很重要。 在 DACL 的么点的优先次序叫做 标准的 次序．为窗口 2000 和窗口伺候器 2003, 标准的次序是下列各项： 所有的明白么点被放在之内遗传么点的任何前的一个小组。 在群明白的么点里面，通路－在允许通路的么点之前否认么点被放置。 在被遗传的小组里面，通过那从物体的父母首先来的孩子被遗传，然后么点从祖父或祖母继承，和如此在物体的树上面之上．在以便之后，通路－在允许通路的么点之前否认么点被放置。 下列的身材表示么点的标准次序： 么点的图 12- 标准次序 标准的次序确定，下列各项发生： 一条明白的通路－否认么点不管任何的明白允许通路的么点被运行．这意谓，物体的拥有者能定义对一群使用者让通路，而且向一个那一个小组的子集否认通路的许可。 在任何继承了么点之前，所有的明白么点被处理．这与任意通路控制的观念一致：：. 孩子物体的拥有者能在孩子身上直接地定义许可．结果是遗传的许可的效果被修正。 例子：明白的通路－跟一个小组否认 在这一个例子中，允许通路的小组是每个人，而且否认通路的小组是销售，一个每个人的子集。 你想要否认行销小组对一个费用文件夹的通路．如果那费用文件夹的么点在标准的次序中，否认销售的么点来在允许每个人的么点之前。 在通路检查期间，作业系统在次序中行走过么点在哪一个他们在物体 DACL 中出现，所以那否认么点被处理在那之前允许么点．结果，行销小组的成员的使用者被否认通路．其他人被让通路到物体。 例子：明白的以前遗传 在这一个例子中，费用文件夹有否认对行销 （父母物体）的通路的一个可继承的么点. 换句话说，所有的是行销小组的成员 （或者孩子）的使用者被否认遗传的通路。 你想要对鲍伯，是行销总监让通路．当做行销小组的一个成员，鲍伯被否认通路到那费用藉着遗传的文件夹．物体 （使用者鲍伯）定义让通路的一个明白的么点的孩子的拥有者到那费用文件夹．如果孩子物体的么点在标准的次序，允许通路来的鲍伯的明白的么点中在任何的之前继承通过，包括向行销小组否认通路的被遗传的么点。 在通路检查期间，在它到达向行销小组否认通路的么点之前，作业系统到达允许鲍伯通路的么点．结果，鲍伯被允许对物体的通路，即使他是行销小组的一个成员．行销小组的其他成员被否认通路。 通路控制进入 如先前陈述， ACL（通路控制目录）是一本么点 （通路控制进入）的被命令的目录. 每个么点包含下列各项： 一个识别一个特别的使用者或小组的 SID（安全标识符）。 叙述通路权利的通路面具。 决定的一组一点点旗子是否孩子物体能继承么点。 一面指出么点的类型的旗子。 么点是基本上相似的．什么组他们分别地是他们在遗传之上提出而且反对通路的控制的程度．有么点的二类型： 被附上到所有的可到手的物体的一般性的类型。 只能为活跃的目录物体在 ACLs 发生的物体－特定的类型。 一般性的么点 一个一般性的一流提议的有限制的控制能继承他们的孩子物体的类型．本质上，他们只能在容器和非容器之间区别。 举例来说，在 NTFS 的在一个文件夹物体上的 DACL（任意的通路控制目录）能包括让一群使用者列出文件夹内容的一个一般性的么点．因为列出文件夹内容是只能在一个容器物体上被运行的操作，允许操作的么点能当做 CONTAINER_INHERIT_ACE 被旗子．唯一的容器在文件夹 （哪一是，唯一的其他文件夹物体）中反对