亦阿安企與控剩
專用設(shè)置。用戶的配置文件可以放在域控制器上,這樣用戶在域中任何一臺(tái)機(jī)器登錄都會(huì)有
相同的界面和網(wǎng)絡(luò)連接設(shè)置。共A2的本,點(diǎn)中的回個(gè)
在訪問(wèn)系統(tǒng)的任何資源之前,用戶首先必須登錄,讓網(wǎng)絡(luò)的安全系統(tǒng)驗(yàn)證用戶的姓名和口令。Windows NT的登錄上網(wǎng)程序?yàn)橛脩舻纳矸荽_認(rèn)提供了必要的信息,因而不能被忽略
首先顯示一個(gè)表示歡迎的信息框,并要求用戶在尹始真正的登錄前同時(shí)按下Ctrl、Alt和D 為了防止申請(qǐng)者以后臺(tái)模式訪問(wèn)系統(tǒng)(如特洛伊木馬登錄程序), Windows NT登錄時(shí)將
鍵以激活登錄窗口8重節(jié)同普必言的題 當(dāng)用戶企圖在沒(méi)有獲得授權(quán)的情況下訪間系統(tǒng)時(shí),應(yīng)該顯示一條登錄標(biāo)語(yǔ),也就是所謂的
警告標(biāo)語(yǔ)。個(gè) M9E。に同
2、4.2:3 Windows NT的訪問(wèn)控制機(jī)制2具加同世來(lái)氣
根據(jù)需要選擇的存取控制,給資源擁有者提供了誰(shuí)能存取他們的資源以及能存取到什公
程度。通過(guò)存取控制列表(ACL)的控制能確定授予用戶和組的存取權(quán)限。系統(tǒng)資源包括系鐵
本身、文件、目錄和打印機(jī)等網(wǎng)絡(luò)共享資源以及其它對(duì)象。
Windows NT Server提供控制資源的存取項(xiàng)的工具。對(duì)資源的靈活具體的存取控制能帳
的用戶或任何被授權(quán)控制系統(tǒng)上資源的用戶來(lái)設(shè)定。用于特定的用戶、多個(gè)用戶、用戶組、 Nobody或所有人。它們能由資源擁有者、系統(tǒng)管理賬A
在安全系統(tǒng)上用惟一名字標(biāo)識(shí)一個(gè)注冊(cè)用戶,它可以用來(lái)標(biāo)識(shí)一個(gè)或一組用戶。它和
Eis)內(nèi)使用,與Ui中的用戶標(biāo)識(shí)號(hào)不同的是,SID不是一個(gè)兩個(gè)字節(jié)的整數(shù),而是一長(zhǎng) 的用戶標(biāo)識(shí)號(hào)相同,安全性標(biāo)識(shí)符是用于系統(tǒng)內(nèi)部的,在存取令牌和ACL( Access Contri
數(shù)字,例如:市果最別()日 的中(つA)
。去s1-52176965814-189833540432544810?中1つA対R2、(J 表界二個(gè)siD是統(tǒng)計(jì)正面的惟一的數(shù)值,也就是說(shuō)用于代表一個(gè)用戶的SID值在以后應(yīng)該
遠(yuǎn)不會(huì)被另一個(gè)用戶使用,所有的SiD用一個(gè)用戶信息時(shí)間日期和域信息的結(jié)合體來(lái) 建。用SID標(biāo)識(shí)用戶的結(jié)果是,在同に個(gè)許算機(jī)上,可以多次例建相同的用戶賬戶名,而年
立一個(gè)新的賬號(hào),即使兩次的用戶名相同,但是新躱藏戶和老賬戶不會(huì)向相同的可訪問(wèn)資源 個(gè)賬戶名都有惟一的三個(gè)SD。例如,用jm建立一個(gè)賬戶,然后去這個(gè)賬戶、并為Jn
每次用戶登錄到系統(tǒng)上時(shí),便生成了用戶的存取令牌,并且在登錄后不再更新。所以如果用
想獲得另一個(gè)賬戶的存取權(quán)限,他就必須退出系統(tǒng)并重新以另個(gè)賬戶進(jìn)行登錄。Um在
方面要比 Window NT具有更大的方便性,用戶可以在登錄后將自己的身份改變成另三個(gè)
戶的身份,如roo賬戶的身份。量置+1A1根
安全存取標(biāo)識(shí)包含一個(gè)特定用戶的信息。當(dāng)用戶初始化二個(gè)進(jìn)程時(shí),存取標(biāo)識(shí)的一個(gè)
本就被水久地附手這個(gè)進(jìn)程。在登錄過(guò)程中,創(chuàng)建和使用存取標(biāo)識(shí)是非常重要的。當(dāng)與用
聯(lián)系的進(jìn)程或其他用戶試圖存取一個(gè)對(duì)象時(shí),保存在該用戶存取標(biāo)識(shí)中的SID和他所屬組 列表與該對(duì)象的存取控制列表(ACい)作比較,如果對(duì)象的AC包括有對(duì)該用戶的許可或
所在組的許可,用戶便可以存取該對(duì)象 長(zhǎng)bC+1の由國(guó)
下面描述所有存取標(biāo)識(shí)共有的內(nèi)容。時(shí)回置面的弟帝具白墨に 存取控制列表,ACL允許靈活地根據(jù)需要設(shè)置目標(biāo)的存取權(quán)限它與文件管理器放
2草網(wǎng)安全原與防道
作以保護(hù)文件不受非法存取。它說(shuō)明讓用戶能共享或存取控制哪些資源。每一個(gè)目標(biāo)的
ACL都包括用于定義該目標(biāo)的存取權(quán)限的存取控制項(xiàng)(ACE)。當(dāng)目標(biāo)的擁有者為它設(shè)定具
者沒(méi)有為它設(shè)置具體的存取控制,一個(gè)缺省的ACL將被建立。有共。撲全面目 體的存取控制時(shí),包括安全標(biāo)志(SID)和對(duì)應(yīng)存取權(quán)限的ACE就被插人到ACL若資源擁有
當(dāng)用戶試圖存取一個(gè)對(duì)象時(shí),他個(gè)人的SID或他所在組的SID用于與ACE列表中的項(xiàng)做
匹配,然后他要做的操作再與被匹配的ACE項(xiàng)定義的存取許可比較。如果用戶的SID和一個(gè)
ACE的SID存取請(qǐng)求匹配,該用戶就被允許存取。的定重民面市
例如,管理員P是激光打印機(jī)的擁有人,P用打印管理器賦予D打印許可,D向激光打印
機(jī)發(fā)送了一個(gè)文本,當(dāng)D的請(qǐng)求發(fā)出后,激光打印機(jī)的ACL被參照用于尋找與D的SID是否
有相同SID的ACE項(xiàng),由于激光打印機(jī)的ACE項(xiàng)含有打印許可,因而D的文件被打印。
ACE項(xiàng)中那些不允許存取的項(xiàng)優(yōu)先于允許存取的項(xiàng)。 Windows NT首先檢查拒絕存取的
ACE項(xiàng),然后才檢查允許存取的項(xiàng)。拒絕存取的控制總是優(yōu)先于允許存取的控制。が更
如果用戶所屬的一個(gè)組被相繼存取,這個(gè)用戶將不被允許存取,盡管他自己或其他組的賬
戶中的某一個(gè)被賦予存取權(quán)。所以,如果不許存取( NO Access)的許可(也是一種許可)被授予
所有人( Everyone Group),所有人都被拒絕存取,包括資源的擁有者。然而, No Access不會(huì)
止擁有者改變資源的存取許可,進(jìn)而恢復(fù)對(duì)它的存取。洲T
2.4.2:4 Windows NT的用戶賬戶管理
用戶賬戶可以是某一服務(wù)器上的本地賬戶,也可以在域用戶賬戶范圍內(nèi)創(chuàng)建。不管怎么
說(shuō),只要記住賬戶的類型是由 Windows NT Server的身份決定的就行了。 Windows NT服務(wù)
器可以是服務(wù)器,也可以是域控制器。服務(wù)器負(fù)責(zé)維護(hù)它自己的安全賬戶數(shù)據(jù)庫(kù)(SAMD),而
域控制器則與其它服務(wù)器共享SAM。這意味著服務(wù)器擁有本地版本的SAM,而主域控制器
(PDC)擁有可能復(fù)制到域中的備份控制器(BDC)上的SAM版本后面將進(jìn)一步解釋PDC、
BDC以及SAM數(shù)據(jù)庫(kù)同步的問(wèn)題。
不管是什么類型的賬戶都可以設(shè)置不同的屬性。這些屬性決定了用戶與網(wǎng)絡(luò)系統(tǒng)交互操
作的方式,大致包括
?用戶可以改變他的口令;景登甲t合述
?本地型賬戶和全局賬戶;個(gè)。田的公全西象不工序
?指定用戶主目錄;人兵員厘図。しMA2公的車共
?賦值網(wǎng)絡(luò)登錄腳本滬含四要,對(duì)合函テ風(fēng)aA2
賦值用戶強(qiáng)制性配置文件;士部個(gè)前友。方
?把用戶分配到缺省組。而で部不,原業(yè)
用戶賬戶的屬性可以在用戶賬戶創(chuàng)建時(shí)具體規(guī)定,而且以后任何時(shí)候都可以修改。用戶
賬戶可以通過(guò)在SAM數(shù)據(jù)庫(kù)中加一個(gè)新賬戶來(lái)創(chuàng)建,也可以在SAM數(shù)據(jù)中拷貝已經(jīng)存在用
戶的屬性而創(chuàng)建。那些從其它非 Windows NT系統(tǒng)轉(zhuǎn)來(lái)的用戶賬戶信息,也可以用 Windows
NT提供的移植工具來(lái)增加 2.4.2.5NTFS文件系統(tǒng) )0.T
合 Windows NT操作系統(tǒng)利網(wǎng)站制作 用NTFS文件系統(tǒng)而不是通常用的FAT文件系統(tǒng)來(lái)格式化硬
本文地址:http://m.blackside-inc.com//article/3734.html
