亦阿安企與控剩
專用設(shè)置。用戶的配置文件可以放在域控制器上,這樣用戶在域中任何一臺機器登錄都會有
相同的界面和網(wǎng)絡(luò)連接設(shè)置。共A2的本,點中的回個
在訪問系統(tǒng)的任何資源之前,用戶首先必須登錄,讓網(wǎng)絡(luò)的安全系統(tǒng)驗證用戶的姓名和口令。Windows NT的登錄上網(wǎng)程序為用戶的身份確認提供了必要的信息,因而不能被忽略
首先顯示一個表示歡迎的信息框,并要求用戶在尹始真正的登錄前同時按下Ctrl、Alt和D 為了防止申請者以后臺模式訪問系統(tǒng)(如特洛伊木馬登錄程序), Windows NT登錄時將
鍵以激活登錄窗口8重節(jié)同普必言的題 當用戶企圖在沒有獲得授權(quán)的情況下訪間系統(tǒng)時,應(yīng)該顯示一條登錄標語,也就是所謂的
警告標語。個 M9E。に同
2、4.2:3 Windows NT的訪問控制機制2具加同世來氣
根據(jù)需要選擇的存取控制,給資源擁有者提供了誰能存取他們的資源以及能存取到什公
程度。通過存取控制列表(ACL)的控制能確定授予用戶和組的存取權(quán)限。系統(tǒng)資源包括系鐵
本身、文件、目錄和打印機等網(wǎng)絡(luò)共享資源以及其它對象。
Windows NT Server提供控制資源的存取項的工具。對資源的靈活具體的存取控制能帳
的用戶或任何被授權(quán)控制系統(tǒng)上資源的用戶來設(shè)定。用于特定的用戶、多個用戶、用戶組、 Nobody或所有人。它們能由資源擁有者、系統(tǒng)管理賬A
在安全系統(tǒng)上用惟一名字標識一個注冊用戶,它可以用來標識一個或一組用戶。它和
Eis)內(nèi)使用,與Ui中的用戶標識號不同的是,SID不是一個兩個字節(jié)的整數(shù),而是一長 的用戶標識號相同,安全性標識符是用于系統(tǒng)內(nèi)部的,在存取令牌和ACL( Access Contri
數(shù)字,例如:市果最別()日 的中(つA)
。去s1-52176965814-189833540432544810?中1つA対R2、(J 表界二個siD是統(tǒng)計正面的惟一的數(shù)值,也就是說用于代表一個用戶的SID值在以后應(yīng)該
遠不會被另一個用戶使用,所有的SiD用一個用戶信息時間日期和域信息的結(jié)合體來 建。用SID標識用戶的結(jié)果是,在同に個許算機上,可以多次例建相同的用戶賬戶名,而年
立一個新的賬號,即使兩次的用戶名相同,但是新躱藏戶和老賬戶不會向相同的可訪問資源 個賬戶名都有惟一的三個SD。例如,用jm建立一個賬戶,然后去這個賬戶、并為Jn
每次用戶登錄到系統(tǒng)上時,便生成了用戶的存取令牌,并且在登錄后不再更新。所以如果用
想獲得另一個賬戶的存取權(quán)限,他就必須退出系統(tǒng)并重新以另個賬戶進行登錄。Um在
方面要比 Window NT具有更大的方便性,用戶可以在登錄后將自己的身份改變成另三個
戶的身份,如roo賬戶的身份。量置+1A1根
安全存取標識包含一個特定用戶的信息。當用戶初始化二個進程時,存取標識的一個
本就被水久地附手這個進程。在登錄過程中,創(chuàng)建和使用存取標識是非常重要的。當與用
聯(lián)系的進程或其他用戶試圖存取一個對象時,保存在該用戶存取標識中的SID和他所屬組 列表與該對象的存取控制列表(ACい)作比較,如果對象的AC包括有對該用戶的許可或
所在組的許可,用戶便可以存取該對象 長bC+1の由國
下面描述所有存取標識共有的內(nèi)容。時回置面的弟帝具白墨に 存取控制列表,ACL允許靈活地根據(jù)需要設(shè)置目標的存取權(quán)限它與文件管理器放
2草網(wǎng)安全原與防道
作以保護文件不受非法存取。它說明讓用戶能共享或存取控制哪些資源。每一個目標的
ACL都包括用于定義該目標的存取權(quán)限的存取控制項(ACE)。當目標的擁有者為它設(shè)定具
者沒有為它設(shè)置具體的存取控制,一個缺省的ACL將被建立。有共。撲全面目 體的存取控制時,包括安全標志(SID)和對應(yīng)存取權(quán)限的ACE就被插人到ACL若資源擁有
當用戶試圖存取一個對象時,他個人的SID或他所在組的SID用于與ACE列表中的項做
匹配,然后他要做的操作再與被匹配的ACE項定義的存取許可比較。如果用戶的SID和一個
ACE的SID存取請求匹配,該用戶就被允許存取。的定重民面市
例如,管理員P是激光打印機的擁有人,P用打印管理器賦予D打印許可,D向激光打印
機發(fā)送了一個文本,當D的請求發(fā)出后,激光打印機的ACL被參照用于尋找與D的SID是否
有相同SID的ACE項,由于激光打印機的ACE項含有打印許可,因而D的文件被打印。
ACE項中那些不允許存取的項優(yōu)先于允許存取的項。 Windows NT首先檢查拒絕存取的
ACE項,然后才檢查允許存取的項。拒絕存取的控制總是優(yōu)先于允許存取的控制。が更
如果用戶所屬的一個組被相繼存取,這個用戶將不被允許存取,盡管他自己或其他組的賬
戶中的某一個被賦予存取權(quán)。所以,如果不許存取( NO Access)的許可(也是一種許可)被授予
所有人( Everyone Group),所有人都被拒絕存取,包括資源的擁有者。然而, No Access不會
止擁有者改變資源的存取許可,進而恢復(fù)對它的存取。洲T
2.4.2:4 Windows NT的用戶賬戶管理
用戶賬戶可以是某一服務(wù)器上的本地賬戶,也可以在域用戶賬戶范圍內(nèi)創(chuàng)建。不管怎么
說,只要記住賬戶的類型是由 Windows NT Server的身份決定的就行了。 Windows NT服務(wù)
器可以是服務(wù)器,也可以是域控制器。服務(wù)器負責維護它自己的安全賬戶數(shù)據(jù)庫(SAMD),而
域控制器則與其它服務(wù)器共享SAM。這意味著服務(wù)器擁有本地版本的SAM,而主域控制器
(PDC)擁有可能復(fù)制到域中的備份控制器(BDC)上的SAM版本后面將進一步解釋PDC、
BDC以及SAM數(shù)據(jù)庫同步的問題。
不管是什么類型的賬戶都可以設(shè)置不同的屬性。這些屬性決定了用戶與網(wǎng)絡(luò)系統(tǒng)交互操
作的方式,大致包括
?用戶可以改變他的口令;景登甲t合述
?本地型賬戶和全局賬戶;個。田的公全西象不工序
?指定用戶主目錄;人兵員厘図。しMA2公的車共
?賦值網(wǎng)絡(luò)登錄腳本滬含四要,對合函テ風aA2
賦值用戶強制性配置文件;士部個前友。方
?把用戶分配到缺省組。而で部不,原業(yè)
用戶賬戶的屬性可以在用戶賬戶創(chuàng)建時具體規(guī)定,而且以后任何時候都可以修改。用戶
賬戶可以通過在SAM數(shù)據(jù)庫中加一個新賬戶來創(chuàng)建,也可以在SAM數(shù)據(jù)中拷貝已經(jīng)存在用
戶的屬性而創(chuàng)建。那些從其它非 Windows NT系統(tǒng)轉(zhuǎn)來的用戶賬戶信息,也可以用 Windows
NT提供的移植工具來增加 2.4.2.5NTFS文件系統(tǒng) )0.T
合 Windows NT操作系統(tǒng)利網(wǎng)站制作 用NTFS文件系統(tǒng)而不是通常用的FAT文件系統(tǒng)來格式化硬
本文地址:http://murenxiang.com.cn//article/3734.html