根据这篇关于 Access Tokens的文章,一个令牌包含几条信息,包括:
- 用户帐户的安全标识符 (SID)
- 所有者 SID
我希望所有者 SID 和用户帐户 SID 相同。在什么示例场景中它们会有所不同?
进一步的文档解释了访问令牌的登录 SID 有时在 DACL 中使用。我想知道一种安全“模式”,其中 DACL 将被分配访问或拒绝特定登录 SID。从表面上看,这似乎是一个牵强附会的案例。关于我能想象的唯一用途,就是拒绝一个登录用户查看其他用户也登录的内容。还有更多吗?
问问题
121 次
1 回答
0
所有者 SID表示应指定为在焦点令牌下创建的任何对象的所有者的实体。期望所有者 SID 与登录 SID 不同的关键场景之一是系统对象: 由管理员组的成员创建的对象的默认所有者本地安全策略选项配置为使管理员组成为由登录的管理员创建的对象。
在 DACL 中使用登录 SID 的唯一真正“典型”情况是在控制对在当前登录会话下运行的进程或临时资源的访问时。有关详细信息,请参阅http://blogs.msdn.com/b/david_leblanc/archive/2007/07/29/logon-id-sids.aspx。
于 2011-07-13T18:27:07.203 回答