Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
mobilná verzia
Windows User Group - Slovak Republic
prihlásenie
meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí
apríl 2018 máj 2018 jún 2018
po ut st št pi so ne
30 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3
dnes 27.05.2018 dnes 27.05.2018

kto je online?
počet anonymných užívateľov: 1
počet prihlásených užívateľov: 1
teraz je online:
Bing [Bot]

Top 10 najčítanejšie
1.Vytvorenie USB boot jed...
2.Oprava MBR sektoru bez ...
3.Windows 7 download
4.HTPC alebo ako si posta...
5.Konzole pro zotavení v...
6.Windows 7 RC v slovenč...
7.Inštalujte Windows z U...
8.Platené vs Zadarmo
9.Panika menom Conficker
10.Windows 7 RC download -...

Windows User Group - Slovak Republic

Creator / Owner vs. Owner Rights
Windows User Group - Slovak Republic
Bezpečnosť > Nezaradené

Creator / Owner vs. Owner Rights

Windows User Group - Slovak Republic

Zápasíte aj vy s právami Creator / Owner ? Windows Vista a novšie ponúkajú riešenie ...


Operačný systém Windows používa pri riadení prístupu k objektom nielen nadefinované oprávnenia, teda záznamy explicitne uvedené na tzv. ACL - Access Control List, ale existuje tu aj inštitút Creator / Owner. Táto špeciálna systémová identita má implicitne nadefinované práva Read Permissions (READ_CONTROL) a Change Permissions (WRITE_DAC). V praxi to potom znamená, že hoci bežnému užívateľovi nadefinujete len obmedzené práva, tento užívateľ, ak je Creator (=autor, teda "vytvoriteľ" daného súboru) alebo Owner (=majiteľ - každý autor je samozrejme aj majiteľ, ale vlastníctvo môže člen lokálnej skupiny Administrators zmeniť), môže on sám, bežný užívateľ, meniť oprávnenia prístupu k danému objektu. Nepomôže ani explicitne pridelené právo DENY na Read Permissions a Change Permissions - Creator / Owner v tejto situácii "prebíja" aj priamo pridelený zákaz. Tento prístup neplatí len pre súborový systém, ale všade tam, kde majú objekty svoj ACL a prístup k nim je riadený prostredníctvom pridelených práv (napríklad aj objekty v Active Directory). Mnohí administrátori sa preto sťažovali, že ak chcú užívateľovi SKUTOČNE odoprieť prístup k objektu, nestačí len odobrať práva, ale je nutné odobrať aj vlastníctvo. To často nie je jednoduchý úkon, a niekedy priam až nežiaduci krok - veď vlastníctvo súboru sa uvažuje aj pri iných službách, napr. pri NTFS kvóte, pri sledovaní pôvodu súborov a pod.

 

Microsoft na túto problematiku zareagoval vytvorením nového subjektu s názvom OWNER_RIGHTS (SID S-1-3-4). Tento subjekt ale poznajú len operačné systémy Windows Vista a novšie - inými slovami, nie je použiteľný pre Windows XP alebo Windows Server 2003.

 

V praxi to potom znamená, že ak má objekt vo svojom ACL (presnejšie v svojom DACL, teda v tej časti ACL, ktorú nazývame Discretionary Access Control List) uvedený tento nový SID, a tento objekt (napr. súbor na pevnom disku) sa nachádza v novom operačnom systéme (teda Windows Vista alebo novšom), tento operačný systém ignoruje oprávnenia člena Creator / Owner skupiny a riadi sa právami definovanými pre Owner Rights subjekt.

 

Ak teda do DACL súboru vložím skupinu Owner Rights a nedám jej žiadne práva (tým nemyslím, že jej definujem práva DENY - to nie, skrátka tomuto SIDu nepridelím žiadne práva, teda ani ALLOW, ani DENY), tak operačný systém bude ignorovať právo člena Creator / Owner skupiny na Read Permissions a Change Permission a namiesto toho odoprie majiteľovi akýkoľvek prístup k objektu.

 

POZOR - ak má užívateľ práva na objekt prostredníctvom akéhokoľvek iného SIDu uvedeného v DACL objektu, samozrejme tieto práva mu zostávajú - subjekt OWNER_RIGHTS slúži IBA na potlačenie práv toho, kto je autor alebo majiteľ (teda Cretor / Owner) objektu.

 

Taktiež je potrebné si uvedomiť, že tento nový SID poznajú len nové operačné systémy - teda Windows Vista a novšie. Čiže ak používam napríklad Windows 7 ako klienta a Windows Server 2003 ako súborový server, tak ani priamo na serveri, ani z Windows 7 neviem tento SID subjektu OWNER_RIGHTS zapísať do DACL súborov nachádzajúcich sa na Windows Server 2003 (v zdieľaných priečinkoch). Aj keď by ste ho tam možno preniesli pomocou nástroja robocopy.exe /copy:, alebo nástrojom icacls.exe (icacls.exe /save na export DACL z objektu na Windows 7, na serveri potom icacls.exe /restore na "obnovu" DACL), i tak by nevideli žiadny efekt. Je potrebné si uvedomiť, že tento SID starší operačný systém (konkrétne jeho LSA - Local Security Authority) nepozná a teda nevie uplatniť.

 

Boris.

Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Boris Ulík | piatok 30. septembra 2011 09:02 | Prečítané: 4378 x | neohodnotené |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

 
Windows User Group - Slovak Republic
vyhľadávanie

Gopas kurzy

partneri
SecTec - Think secure

Počítačová škola GOPAS

2 % od Vás pre WUG
2 % od Vás pre WUG

sponzori








Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 Windows User Group Slovensko
podmienky používania prehlásenie o súkromí

Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak RepublicPageRank ikona zdarma Valid HTML 4.01 Transitional