返回
分布式系统 第12章 访问控制new

分布式系统 第12章 访问控制new

ID:34513850

大小:1.12 MB

页数:41页

时间:2019-03-07

分布式系统 第12章 访问控制new_第1页
分布式系统 第12章 访问控制new_第2页
分布式系统 第12章 访问控制new_第3页
分布式系统 第12章 访问控制new_第4页
分布式系统 第12章 访问控制new_第5页
资源描述:

《分布式系统 第12章 访问控制new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、下载第12章访问控制微软的Windows2000操作系统提供了防止未授权使用文件、应用程序和其他资源的机制。尽管用户可能已经知道如何使用一些工具来分配权限或设置许可操作,理解权限和许可的实际含义、它们的必要性以及它们的工作机制可以帮助用户对共享资源进行高效的管理,也有助于用户避免可能遇到的不必要的风险和解决出现的任何问题。资源大全中的相关信息:¥关于如何诊断、解决和恢复活动目录的详细信息,请参阅本书第10章。¥关于认证的详细信息,请参阅本书第11章。¥关于用户权限的详细信息,请参阅本书附录D。¥关于众所周知

2、的安全标识符的详细信息,见本书附录E。12.1访问控制模型Windows2000里的安全系统基于最初为WindowsNT开发的技术。这两种操作系统对资源的访问控制方式实质上是相同的。如果用户熟悉WindowsNT4.0或更早的NT版本,就知道它的访问控制模型有以下特征:基于用户的授权在WindowsNT里,用户启动的每个应用都在用户的安全上下文里运行,而不是在应用自己的安全上下文里。应用只能完成用户被授权的动作,例如,用户在使用Microsoft的Word时只能访问被授权的文档;在Windows2000里,

3、访问控制模型的这方面特征被极大地增强。应用可以被设计为在受限的安全上下文里运行,从而比它们的用户获得更少的权限,受到更多的访问限制。对安全对象的任意访问在WindowsNT里,拥有一个对象的用户可以控制哪些人允许使用该对象以及用什么方式使用,对象的所有者可以向特定的用户或用户组分配不同的访问许可权。例如,一个文件对象的所有者可以赋予某个组的所有成员读写文件的权限,而禁止该组里某个特定用户的写访问权限;在Windows2000里,所有者可以允许或禁止其他用户对特定类型对象的单个属性或整个对象的访问。许可权的继

4、承在WindowsNT里,用户通过对容器对象设置可继承的许可权限控制在容器对象里创建的新对象的许可权。例如,用户对一个NTFS文件夹设置的权限被在该文件夹里新建立的子文件夹和文件继承;在Windows2000里,用户对一个容器对象设置的权限被该容器对象里已经存在的对象和新建立的对象继承。管理权限在WindowsNT里,用户可以控制哪些用户或组有权执行各种管理功能或采取任何作用于系统范围内的资源的动作。例如,管理员可以对一组用户赋予交互登录的权限,而对另一组用户赋予加载和卸载设备驱动程序的权限;在Window

5、s2000里,用户可以使用组策略来集中地控制加入到域中的所有机器的管理特权。第12章访问控制计计413下载系统事件的审核—在WindowsNT里,用户可以使用审计特性来检测对资源进行围绕(circumvent)保护的尝试或对系统建立一个管理行为的审计记录。例如,用户可以设置安全策略在安全事件日志里记录失败的登录行为。若另一个管理员改变了审计策略从而不再审计失败的登录行为,则这一事件也会在事件日志里显示出来;在Windows2000里,用户可以通过组策略集中地控制允许哪些用户管理域中的机器的安全日志。12.1

6、.1关键术语同所有技术一样,访问控制机制也有专门的术语。我们希望用户能够理解下面的关键术语在Windows2000的访问控制模型里是如何定义的。安全主体可以是用户、组、计算机或服务。安全主体都有账号,本地账号由本机上的安全账号管理器(SAM)管理,域账号由活动目录管理。安全标识符(SID)唯一标识企业内的用户、组、服务或计算机账号的一个值。每个账号在创建时都被分配一个SID。Windows2000里的访问控制机制使用SID而不是名字来标识安全主体。安全上下文描述计算机上特定安全主体的标识和能力的有关信息。在

7、Windows2000里,所有的活动都发生在一个安全上下文里。安全子系统使用安全上下文来判断进程和它的执行线程对计算机上的对象进行的动作以及谁应该对完成的动作负责。访问令牌包含一个安全主体的SID、该安全主体所属的组的SID以及在本机上安全主体的特权(也称为用户权限)列表的一个数据结构。对通过本地键盘或远程网络登录的每个安全主体,都要创建一个访问令牌,它为安全主体在机器上的行为提供了一个安全上下文。线程进程内的一个可执行实体。为了便于讨论,我们把线程想象成在处理器上调度执行的一段程序代码。一个进程可以有多个

8、线程同时运行,操作系统通过给每个线程分配一个调度优先级来协调它们的执行。Subject在一个认证成功的安全主体的安全上下文里执行的线程。在允许Subject对受保护的对象进行操作之前,安全子系统首先执行访问检查,它对Subject的访问令牌里的信息和对象的安全描述符里的信息进行比较,以判断该Subject是否被授权进行希望的操作。仿制一个线程在与包含它的进程的安全上下文不同的上下文里进行工作的能力。仿制的目的是为

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。