|
| БЕСПЛАТНАЯ ежедневная online лотерея! Выигрывай каждый день БЕСПЛАТНО! |
|
|
Access-Control Entries (ACEs)
An access-control list (ACL) contains zero or more access-control entries (ACEs) that control or monitor access to an object by a specified trustee. Each ACE contains the following access-control information:
· A security identifier (SID) that identifies the trustee. A trustee can be a user account, group account, or a logon account for a program such as a Windows NT service. · An access mask that specifies the access rights controlled by the ACE. · A flag that indicates the type of ACE. · A set of bit flags that determine whether other containers or objects can inherit the ACE from the primary object to which the ACL is attached.
There are three types of ACEs currently supported by Windows NT. Windows NT does not currently support system-alarm ACEs.
Type Description Access-denied ACE Used in a DACL to deny the specified access rights to the trustee. Access-allowed ACE Used in a DACL to grant the specified access rights to the trustee. System-audit ACE Used in a SACL to generate an audit record when the trustee attempts to exercise the specified access rights.
In a DACL, you should place any access-denied ACEs at the beginning of the list of ACEs in an ACL, ahead of any access-allowed ACEs. In determining whether to grant access to an object, the system checks an access token against the ACEs in the ACL. The system stops checking the ACEs when one of the following events occurs:
· One or more access-allowed ACEs explicitly grant the necessary access rights to the trustee or to groups of which the trustee is a member. · An access-denied ACE explicitly denies the requested access rights. · All ACEs have been checked without granting the requested access, in which case, access is implicitly denied.
Positioning access-denied ACEs at the beginning of the ACL ensures that the specified trustee is denied access even if an access-allowed ACE in the list grants the access to the trustee or a group to which the trustee belongs. If a trustee is a member of several groups represented by ACEs in the DACL, the rights granted to each group apply to the trustee. For example, a trustee may request read/write access to an object. Suppose one ACE in the list grants read access to a group. Another ACE grants write access to a different group. If the trustee belongs to both groups, the request for read/write access succeeds.
A SACL is useful when a system administrator wants to keep a log of attempts to access a secured object. A system-audit ACE can be set to generate an audit record when an access attempt by the trustee succeeds, fails, or both. The system enters the audit record in the system event log. An administrator can use the Event Viewer to examine entries in the event log. Applications can use the event-logging functions to access the event log. ACEs and ACLs are opaque structures. Internally, they use the ACL, ACE_HEADER, ACCESS_ALLOWED_ACE, ACCESS_DENIED_ACE, and SYSTEM_AUDIT_ACE structures to store information. However, applications should not try to work directly with the contents of these structures. To ensure that ACLs are semantically correct, use the appropriate Win32 functions to create and manipulate ACLs and ACEs.
| Пригласи друзей и счет твоего мобильника всегда будет положительным! |
| Пригласи друзей и счет твоего мобильника всегда будет положительным! |
ДАННЫЕ Access-Control (ПЕР.ТОКИ)
Иметь доступ к-управляющему списку (ACL), содержит нуль или более иметь доступ к-управляющим данным (ПЕР.ТОКИ), которые управляют или доступ монитора к объекту определенным попечителем. Каждый АС содержит следующий иметь доступ к-управляющей информации:
Идентификатор безопасности (SID), который идентифицирует попечителя. Попечитель может быть счетом пользователя, группового счета, или ввод принимает во внимание программу как например, услуга Windows NT. Маска доступа, которая определяет права доступа управлял АСОМ. Флаг, который указывает тип АСА. Установка бита сигнализирует, что определяет независимо другие контейнеры или объекты могут унаследовать АСА с первичного объекта против которого ACL приложен.
Есть три типа ПЕР.ТОК к настоящему времени предусмотренного Windows NT. Windows NT к настоящему времени не поддерживает системных-аварийных АСОВ.
Описание Типа Запрещенный АС Доступа Использовался в DACL, чтобы запрещать определенные права доступа попечителю. Допущенный АС Доступа Использовался в DACL, чтобы предоставлять определенному доступу права попечителю. Системная проверка АСА Использовались в SACL, чтобы генерировать запись проверки когда попечитель пытается осуществлять определенные права доступа.
В DACL, Вы должны устанавливать любой запрещенный доступ ПЕР.ТОК в начале списка ПЕР.ТОК в ACL, впереди любых допущенных АСОВ доступа. В определении предоставлять доступ к объекту, система проверяет признак доступа против ПЕР.ТОК в ACL. Система перестает проверять ПЕР.ТОК когда одно из следующих событий происходит:
Один или более явно даров ПЕР.ТОКОВ допущенный доступ необходимые права доступа попечителю или в группы из которых попечитель является элементом. Запрещенный АС доступа явно запрещит запрошенные права доступа. Все ПЕР.ТОКИ не проверены предоставляя запрошенный доступ, в этом случае, доступ подразумевающийо запрещен.
Запрещенный доступ Позиционирования ПЕР.ТОК в начале ACL проверяет, что определенный попечитель запрещен доступ даже если бы допущенный АС доступа в списке предоставляет доступ к попечителю или группа на которых попечитель принадлежит. Если попечитель является элементом нескольких групп представленным ПЕР.ТОК в DACL, права предоставившие каждой группе относятся к попечителю. Например, попечитель может запросить прочитанный/записывать доступ к объекту. Полагайте одного АСА в субсидиях списка прочитавших доступ к группе. Другой АС предоставляет записи доступ к другой группе. Если попечитель принадлежит обеим группам, запрос о чтении/записи доступа добивается успеха.
SACL Полезный когда системный администратор хочет держать протокол попыток, чтобы иметь доступ к защищенному объекту. Системная проверка АСА может быть установлена, чтобы генерировать запись проверки когда попытка доступа попечителем получает, терпит неудачу, или оба. Система вводит запись проверки в системный протокол события. Администратор может использовать Абонента События, чтобы изучать данные в протоколе события. Приложения могут использовать событие-регистрацию функций, чтобы иметь доступ к протоколу события. ПЕР.ТОК и ACLs - непрозрачные структуры. Непосредственно, они используют ACL, ACE_HEADER, ACCESS_ALLOWED_ACE, ACCESS_DENIED_ACE, и структуры SYSTEM_AUDIT_ACE, чтобы загружать информацию. Тем не менее, приложения не должны пытаться работать непосредственно с содержанием этих структур. Для того, чтобы проверять, что ACLs - семантически правильно, используйте подходящие функции Win32, чтобы создавать и манипулировать ACLs и АСАМИ.
|
|
|
|
| |