oo账户的身份
发布:2018-08-28 17:19:19 浏览:3716
亦阿安企与控剩
专用设置。用户的配置文件可以放在域控制器上,这样用户在域中任何一台机器登录都会有
相同的界面和网络连接设置。共A2的本,点中的回个
在访问系统的任何资源之前,用户首先必须登录,让网络的安全系统验证用户的姓名和口令。WindowsNT的登录上网程序为用户的身份确认提供了必要的信息,因而不能被忽略
首先显示一个表示欢迎的信息框,并要求用户在尹始真正的登录前同时按下Ctrl、Alt和D为了防止申请者以后台模式访问系统(如特洛伊木马登录程序),WindowsNT登录时将
键以激活登录窗口8重节同普必言的题当用户企图在没有获得授权的情况下访间系统时,应该显示一条登录标语,也就是所谓的
警告标语。个M9E。に同
2、4.2:3WindowsNT的访问控制机制2具加同世来气
根据需要选择的存取控制,给资源拥有者提供了谁能存取他们的资源以及能存取到什公
程度。通过存取控制列表(ACL)的控制能确定授予用户和组的存取权限。系统资源包括系铁
本身、文件、目录和打印机等网络共享资源以及其它对象。
WindowsNTServer提供控制资源的存取项的工具。对资源的灵活具体的存取控制能帐
的用户或任何被授权控制系统上资源的用户来设定。用于特定的用户、多个用户、用户组、Nobody或所有人。它们能由资源拥有者、系统管理账A
在安全系统上用惟一名字标识一个注册用户,它可以用来标识一个或一组用户。它和
Eis)内使用,与Ui中的用户标识号不同的是,SID不是一个两个字节的整数,而是一长的用户标识号相同,安全性标识符是用于系统内部的,在存取令牌和ACL(AccessContri
数字,例如:市果最别()日的中(つA)
。去s1-52176965814-189833540432544810?中1つA対R2、(J表界二个siD是统计正面的惟一的数值,也就是说用于代表一个用户的SID值在以后应该
远不会被另一个用户使用,所有的SiD用一个用户信息时间日期和域信息的结合体来建。用SID标识用户的结果是,在同に个许算机上,可以多次例建相同的用户账户名,而年
立一个新的账号,即使两次的用户名相同,但是新躱藏户和老账户不会向相同的可访问资源个账户名都有惟一的三个SD。例如,用jm建立一个账户,然后去这个账户、并为Jn
每次用户登录到系统上时,便生成了用户的存取令牌,并且在登录后不再更新。所以如果用
想获得另一个账户的存取权限,他就必须退出系统并重新以另个账户进行登录。Um在
方面要比WindowNT具有更大的方便性,用户可以在登录后将自己的身份改变成另三个
户的身份,如roo账户的身份。量置+1A1根
安全存取标识包含一个特定用户的信息。当用户初始化二个进程时,存取标识的一个
本就被水久地附手这个进程。在登录过程中,创建和使用存取标识是非常重要的。当与用
联系的进程或其他用户试图存取一个对象时,保存在该用户存取标识中的SID和他所属组列表与该对象的存取控制列表(ACい)作比较,如果对象的AC包括有对该用户的许可或
所在组的许可,用户便可以存取该对象长bC+1の由国
下面描述所有存取标识共有的内容。時回置面的弟帝具白墨に存取控制列表,ACL允许灵活地根据需要设置目标的存取权限它与文件管理器放
2草网安全原与防道
作以保护文件不受非法存取。它说明让用户能共享或存取控制哪些资源。每一个目标的
ACL都包括用于定义该目标的存取权限的存取控制项(ACE)。当目标的拥有者为它设定具
者没有为它设置具体的存取控制,一个缺省的ACL将被建立。有共。扑全面目体的存取控制时,包括安全标志(SID)和对应存取权限的ACE就被插人到ACL若资源拥有
当用户试图存取一个对象时,他个人的SID或他所在组的SID用于与ACE列表中的项做
匹配,然后他要做的操作再与被匹配的ACE项定义的存取许可比较。如果用户的SID和一个
ACE的SID存取请求匹配,该用户就被允许存取。的定重民面市
例如,管理员P是激光打印机的拥有人,P用打印管理器赋予D打印许可,D向激光打印
机发送了一个文本,当D的请求发出后,激光打印机的ACL被参照用于寻找与D的SID是否
有相同SID的ACE项,由于激光打印机的ACE项含有打印许可,因而D的文件被打印。
ACE项中那些不允许存取的项优先于允许存取的项。WindowsNT首先检查拒绝存取的
ACE项,然后才检查允许存取的项。拒绝存取的控制总是优先于允许存取的控制。が更
如果用户所属的一个组被相继存取,这个用户将不被允许存取,尽管他自己或其他组的账
户中的某一个被赋予存取权。所以,如果不许存取(NOAccess)的许可(也是一种许可)被授予
所有人(EveryoneGroup),所有人都被拒绝存取,包括资源的拥有者。然而,NoAccess不会
止拥有者改变资源的存取许可,进而恢复对它的存取。洲T
2.4.2:4WindowsNT的用户账户管理
用户账户可以是某一服务器上的本地账户,也可以在域用户账户范围内创建。不管怎么
说,只要记住账户的类型是由WindowsNTServer的身份决定的就行了。WindowsNT服务
器可以是服务器,也可以是域控制器。服务器负责维护它自己的安全账户数据库(SAMD),而
域控制器则与其它服务器共享SAM。这意味着服务器拥有本地版本的SAM,而主域控制器
(PDC)拥有可能复制到域中的备份控制器(BDC)上的SAM版本后面将进一步解释PDC、
BDC以及SAM数据库同步的问题。
不管是什么类型的账户都可以设置不同的属性。这些属性决定了用户与网络系统交互操
作的方式,大致包括
?用户可以改变他的口令;景登甲t合述
?本地型账户和全局账户;个。田的公全西象不工序
?指定用户主目录;人兵員厘図。しMA2公的车共
?赋值网络登录脚本沪含四要,对合函テ風aA2
赋值用户强制性配置文件;士部个前友。方
?把用户分配到缺省组。而で部不,原业
用户账户的属性可以在用户账户创建时具体规定,而且以后任何时候都可以修改。用户
账户可以通过在SAM数据库中加一个新账户来创建,也可以在SAM数据中拷贝已经存在用
户的属性而创建。那些从其它非WindowsNT系统转来的用户账户信息,也可以用Windows
NT提供的移植工具来增加2.4.2.5NTFS文件系统)0.T
合WindowsNT操作系统利
网站制作用NTFS文件系统而不是通常用的FAT文件系统来格式化硬