亦阿安企与控剩
专用设置。用户的配置文件可以放在域控制器上,这样用户在域中任何一台机器登录都会有
相同的界面和网络连接设置。共A2的本,点中的回个
在访问系统的任何资源之前,用户首先必须登录,让网络的安全系统验证用户的姓名和口令。Windows NT的登录上网程序为用户的身份确认提供了必要的信息,因而不能被忽略
首先显示一个表示欢迎的信息框,并要求用户在尹始真正的登录前同时按下Ctrl、Alt和D 为了防止申请者以后台模式访问系统(如特洛伊木马登录程序), Windows NT登录时将
键以激活登录窗口8重节同普必言的题 当用户企图在没有获得授权的情况下访间系统时,应该显示一条登录标语,也就是所谓的
警告标语。个 M9E。に同
2、4.2:3 Windows NT的访问控制机制2具加同世来气
根据需要选择的存取控制,给资源拥有者提供了谁能存取他们的资源以及能存取到什公
程度。通过存取控制列表(ACL)的控制能确定授予用户和组的存取权限。系统资源包括系铁
本身、文件、目录和打印机等网络共享资源以及其它对象。
Windows NT Server提供控制资源的存取项的工具。对资源的灵活具体的存取控制能帐
的用户或任何被授权控制系统上资源的用户来设定。用于特定的用户、多个用户、用户组、 Nobody或所有人。它们能由资源拥有者、系统管理账A
在安全系统上用惟一名字标识一个注册用户,它可以用来标识一个或一组用户。它和
Eis)内使用,与Ui中的用户标识号不同的是,SID不是一个两个字节的整数,而是一长 的用户标识号相同,安全性标识符是用于系统内部的,在存取令牌和ACL( Access Contri
数字,例如:市果最别()日 的中(つA)
。去s1-52176965814-189833540432544810?中1つA対R2、(J 表界二个siD是统计正面的惟一的数值,也就是说用于代表一个用户的SID值在以后应该
远不会被另一个用户使用,所有的SiD用一个用户信息时间日期和域信息的结合体来 建。用SID标识用户的结果是,在同に个许算机上,可以多次例建相同的用户账户名,而年
立一个新的账号,即使两次的用户名相同,但是新躱藏户和老账户不会向相同的可访问资源 个账户名都有惟一的三个SD。例如,用jm建立一个账户,然后去这个账户、并为Jn
每次用户登录到系统上时,便生成了用户的存取令牌,并且在登录后不再更新。所以如果用
想获得另一个账户的存取权限,他就必须退出系统并重新以另个账户进行登录。Um在
方面要比 Window NT具有更大的方便性,用户可以在登录后将自己的身份改变成另三个
户的身份,如roo账户的身份。量置+1A1根
安全存取标识包含一个特定用户的信息。当用户初始化二个进程时,存取标识的一个
本就被水久地附手这个进程。在登录过程中,创建和使用存取标识是非常重要的。当与用
联系的进程或其他用户试图存取一个对象时,保存在该用户存取标识中的SID和他所属组 列表与该对象的存取控制列表(ACい)作比较,如果对象的AC包括有对该用户的许可或
所在组的许可,用户便可以存取该对象 长bC+1の由国
下面描述所有存取标识共有的内容。時回置面的弟帝具白墨に 存取控制列表,ACL允许灵活地根据需要设置目标的存取权限它与文件管理器放
2草网安全原与防道
作以保护文件不受非法存取。它说明让用户能共享或存取控制哪些资源。每一个目标的
ACL都包括用于定义该目标的存取权限的存取控制项(ACE)。当目标的拥有者为它设定具
者没有为它设置具体的存取控制,一个缺省的ACL将被建立。有共。扑全面目 体的存取控制时,包括安全标志(SID)和对应存取权限的ACE就被插人到ACL若资源拥有
当用户试图存取一个对象时,他个人的SID或他所在组的SID用于与ACE列表中的项做
匹配,然后他要做的操作再与被匹配的ACE项定义的存取许可比较。如果用户的SID和一个
ACE的SID存取请求匹配,该用户就被允许存取。的定重民面市
例如,管理员P是激光打印机的拥有人,P用打印管理器赋予D打印许可,D向激光打印
机发送了一个文本,当D的请求发出后,激光打印机的ACL被参照用于寻找与D的SID是否
有相同SID的ACE项,由于激光打印机的ACE项含有打印许可,因而D的文件被打印。
ACE项中那些不允许存取的项优先于允许存取的项。 Windows NT首先检查拒绝存取的
ACE项,然后才检查允许存取的项。拒绝存取的控制总是优先于允许存取的控制。が更
如果用户所属的一个组被相继存取,这个用户将不被允许存取,尽管他自己或其他组的账
户中的某一个被赋予存取权。所以,如果不许存取( NO Access)的许可(也是一种许可)被授予
所有人( Everyone Group),所有人都被拒绝存取,包括资源的拥有者。然而, No Access不会
止拥有者改变资源的存取许可,进而恢复对它的存取。洲T
2.4.2:4 Windows NT的用户账户管理
用户账户可以是某一服务器上的本地账户,也可以在域用户账户范围内创建。不管怎么
说,只要记住账户的类型是由 Windows NT Server的身份决定的就行了。 Windows NT服务
器可以是服务器,也可以是域控制器。服务器负责维护它自己的安全账户数据库(SAMD),而
域控制器则与其它服务器共享SAM。这意味着服务器拥有本地版本的SAM,而主域控制器
(PDC)拥有可能复制到域中的备份控制器(BDC)上的SAM版本后面将进一步解释PDC、
BDC以及SAM数据库同步的问题。
不管是什么类型的账户都可以设置不同的属性。这些属性决定了用户与网络系统交互操
作的方式,大致包括
?用户可以改变他的口令;景登甲t合述
?本地型账户和全局账户;个。田的公全西象不工序
?指定用户主目录;人兵員厘図。しMA2公的车共
?赋值网络登录脚本沪含四要,对合函テ風aA2
赋值用户强制性配置文件;士部个前友。方
?把用户分配到缺省组。而で部不,原业
用户账户的属性可以在用户账户创建时具体规定,而且以后任何时候都可以修改。用户
账户可以通过在SAM数据库中加一个新账户来创建,也可以在SAM数据中拷贝已经存在用
户的属性而创建。那些从其它非 Windows NT系统转来的用户账户信息,也可以用 Windows
NT提供的移植工具来增加 2.4.2.5NTFS文件系统 )0.T
合 Windows NT操作系统利网站制作 用NTFS文件系统而不是通常用的FAT文件系统来格式化硬
本文地址://www.xrqsnxx.com//article/3734.html