Неоднозначность члена токена доступа

Согласно этой статье о токенах доступа , токен содержит несколько частей информации, в том числе:

  • Идентификатор безопасности (SID) для учетной записи пользователя
  • SID владельца

Я ожидаю, что SID владельца и SID учетной записи пользователя будут одинаковыми. В каком примерном сценарии они будут другими?

Дополнительная документация поясняет, что SID входа в систему маркера доступа иногда используется в DACL. Я хотел бы знать «шаблон» безопасности, в котором DACL будет назначен доступ или отказ для определенного SID входа. На первый взгляд, это кажется надуманным случаем. Единственное, что я мог себе представить, — это лишить одного вошедшего в систему пользователя возможности видеть, какие другие пользователи также вошли в систему. Есть ли что-то еще?


windows security authorization access-token acl
person Brent Arias    schedule 13.07.2011    source источник

Ответы (1)


arrow_upward
0
arrow_downward

SID владельца представляет сущность, которая должна быть назначена владельцем любых объектов, созданных в фокальный токен. Один из ключевых сценариев, при котором ожидается, что SID владельца будет отличаться от SID входа, — это когда файл Системные объекты: владелец по умолчанию для объектов, созданных членами группы "Администраторы" параметр локальной политики безопасности настроен таким образом, что группа "Администраторы" становится владельцем объектов, созданных администратором, вошедшим в систему.

Единственным действительно «типичным» случаем использования SID для входа в DACL является управление доступом к процессу или временному ресурсу, работающему в рамках текущего сеанса входа в систему. Дополнительные сведения см. на странице http://blogs.msdn.com/b/david_leblanc/archive/2007/07/29/logon-id-sids.aspx.

person Nicole Calinoiu    schedule 13.07.2011