Owner Rights


Ниже приведена схема, поясняющая работу Owner Rights при назначении прав на ресурсы.

До Windows Vista собственник объекта (папки, файла) имел полные права на изменение ACL этого объекта и мог назначить на этот объект любые права себе или другим пользователям.

Начиная с Windows Vista, появился механизм защиты. Теперь администратор может явно назначать права, которые собственник имеет на ACL своего объекта. Для этого нужно выставить права для псевдопользователя Owner Rights (well-known security identifier (SID) S-1-3-4). Достаточно этому пользователю выставить WRITE_DAC (Change permissions), чтобы он мог создавать объекты, но не мог менять на них права (для изменения прав нужно выставить MODIFY вместо WRITE).

Рекомендуется для применения на файловых серверах.

Полезные ссылки:

  1. AD DS: Owner Rights
  2. ACL Enhancements in Windows Vista and Windows Server 2008

Реклама

комментария 2

  1. вероятно, MODIFY вместо MODEFY

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: