Windows NT系统首先必须在NT中拥有一个帐号,其次,规定该帐号在系统中的权力和权限。
在Windows NT系统中,权力专指用户对整个系统能够做的事情,如关掉系统、往系统中添加设备、更改系统时间等。权限专指用户对系统资源所能做的事情,如对某文件的读、写控制,对打印机队列的管理。NT系统中有一个安全帐号数据库,其中存放的内容有用户帐号以及该帐号所具有的权力等。用户对系统资源所具有的权限则与特定的资源一起存放。
用户登录过程:
在没有用户登录时,可以看到屏幕上显示一个对话框,提示用户登录在NT系统中。实际上,NT系统中有一个登录进程。当用户在开始登录时,按下Ctrl+Alt+Del键,NT系统启动登录进程,弹出登录对话框,让用户输入帐号名及口令。按下Ctrl+Alt+Del键时,NT系统保证弹出的登录对话框是系统本身的,而不是一个貌似登录对话框的应用程序,以防止被非法窃取用户名及口令。
所以,在登录时,无论屏幕上是否有登录对话框,一定要按下Ctrl+Alt+ Del,以确保弹出的对话框是NT系统的登录对话框,此过程就是强制性登录过程。登录进程收到用户输入的帐号和口令后,就查找安全帐户数据库中的信息。如果帐户及口令无效,则用户的登录企图被拒绝;如果帐户及口令有效,则把安全帐户数据库中有关该帐户的信息收集在一起,形成一个存取标识。
存取标识中的主要内容有:
用户名以及SID
用户所属的组及组SID
用户对系统所具有的权力 然后NT就启动一个用户进程,将该存取标识与之连在一起,这个存取标识就成了用户进程在NT系统中的通行证。
用户无论做什么事情,NT中负责安全的进程都会检查其存取标识,以确定其操作是否合法。
用户成功地登录之后,只要用户没有注销自己,其在系统中的权力就以存取标识为准,NT安全系统在此期间不再检查安全帐户数据库。这主要是考虑到效率。
存取标识的作用相当于缓存,只不过存取标识缓存的是用户安全信息,使得系统不必再从硬盘上查找。安全帐户数据库是由域用户管理器来维护的,在某个用户登录后,有可能管理员会修改其帐户以及权力等,但这些修改只有在用户下次登录时才有效,因为NT安全系统在用户登录后只检查存取标识,而不是检查安全帐户数据库。比如User1已登录到了NT系统中,管理员发现其缺少了某种权力,就用域用户管理器做了相应的修改,那么,除非User1重新登录一次,否则User1仍无法享有该权力。
存取标识包含的内容并没有访问许可权限,而存取标识又是用户在系统中的通行证,那么NT如何根据存取标识控制用户对资源的访问呢?
原来,给资源分配的权限作为该资源的一个属性,与资源一起存放。比如有目录为D:Files,对其指定User1只读,User2可完全控制,则这两个权限都作为D:Files目录的属性与该目录连在一起。在NT内部以访问控制列表)的形式存放。ACL中包含了每个权限的分配,以访问控制项来表示。ACE中包含了用户名以及该用户的权限。比如上面提到的这个例子中,D:Files的ACL中有两个ACE,分别是User1:只读,User2:完全控制。当User1访问该目录时,NT安全系统检查用户的存取标识,与目录的ACL对照,发现用户存取标识中的用户名与ACL中有对应关系且所要求的权限合法,则访问获得允许,否则,访问被拒绝。
