none
关于受限制令牌当中的SID RRS feed

  • 问题

  • 在受限制令牌当中有一些特殊的SID例如deny-only或者restriced-only的SID,我想知道这些特殊的SID对访问资源对象会造成怎样的影响,我度过MARK的文章,但是讲的不是很详细,我想要一些有点深度的解释,各位高手们谢了!!!

    2008年7月21日 1:26

全部回复

  • 同样关注啊!顶一下啦。

     

     

     

    兄弟读过的MARK的文章有没有链接啊,我还没读过呢,感觉特无知啊。

     

    我也刚问了个SID的问题,困惑啊,我的问题在如下链接:

    http://forums.microsoft.com/china/ShowPost.aspx?PostID=3641468&SiteID=15

     

    欢迎精通ACL和SID的高手给俺们答疑解惑,先谢谢啦!

    2008年7月21日 2:33
  • 安全描述符有以下的部分构成:

    1,版本号:创建此SRM安全模型的版本。

    2,标志:定义该描述符的行为或者特征。

    3,所有者SID:所有者的SID,在这个地方它代表的意思就是总是被授予读取和修改安全描述符当中的DACL,在系统当中有一项特权就是“接管所有权”若赋予用户此项特权的话,那么用户就会把自己的SID放进“所有者SID”当中,这样这位用户就能够修改对象的权限以便让自己能够进行访问。

    4,组SID

    5,DACL===》

    6,SACL主要是用于审计。

    至于安全描述符具体是什么内容可以查看盆盆老师的博客有关UAC内容,讲的很好。

    用户在进行访问资源的时候,若是在VISTA之前的话,那么就需要两部分一个是请求进程的访问令牌,另一个是访问对象的安全描述符,还需要一个SRM,至于系统是怎样进行检查的我想你们应该知道吧。大体上说就是SRM检查访问令牌和安全描述符,若找到匹配的就赋予权限,找不到的拒绝,在就是在DACL当中的排序问题,“拒绝”的总是排在“允许”的前面。这也就是说明了为什么拒绝的权限比允许的权限高的原因,若是不理解的话,看一下路由器当中的ACL,差不多。当然在VISTA当中还多了一个就是进程的完整性级别,级别低的访问较高的只有读的权限没有写的访问权限。详细的内容可以查看MARK的文章,盆盆老师翻译的。

    我的问题就是在受限制令牌当中会出现一些特殊的SID,这时候SRM进行检查的时候,他是按照怎样的规则来进行赋予权限的,也就是说在SRM检查访问令牌的时候发现这些特殊的SID是怎样被赋予权限的。

    2008年7月21日 6:05