Windows NT系統首先必須在NT中擁有一個帳號,其次,規定該帳號在系統中的權力和權限。
在Windows NT系統中,權力專指用戶對整個系統能夠做的事情,如關掉系統、往系統中添加設備、更改系統時間等。權限專指用戶對系統資源所能做的事情,如對某文件的讀、寫控制,對打印機隊列的管理。NT系統中有一個安全帳號數據庫,其中存放的內容有用戶帳號以及該帳號所具有的權力等。用戶對系統資源所具有的權限則與特定的資源一起存放。
用戶登錄過程:
在沒有用戶登錄時,可以看到屏幕上顯示一個對話框,提示用戶登錄在NT系統中。實際上,NT系統中有一個登錄進程。當用戶在開始登錄時,按下Ctrl+Alt+Del鍵,NT系統啟動登錄進程,彈出登錄對話框,讓用戶輸入帳號名及口令。按下Ctrl+Alt+Del鍵時,NT系統保證彈出的登錄對話框是系統本身的,而不是一個貌似登錄對話框的應用程序,以防止被非法竊取用戶名及口令。
所以,在登錄時,無論屏幕上是否有登錄對話框,一定要按下Ctrl+Alt+ Del,以確保彈出的對話框是NT系統的登錄對話框,此過程就是強制性登錄過程。登錄進程收到用戶輸入的帳號和口令后,就查找安全帳戶數據庫中的信息。如果帳戶及口令無效,則用戶的登錄企圖被拒絕;如果帳戶及口令有效,則把安全帳戶數據庫中有關該帳戶的信息收集在一起,形成一個存取標識。
存取標識中的主要內容有:
用戶名以及SID
用戶所屬的組及組SID
用戶對系統所具有的權力 然后NT就啟動一個用戶進程,將該存取標識與之連在一起,這個存取標識就成了用戶進程在NT系統中的通行證。
用戶無論做什么事情,NT中負責安全的進程都會檢查其存取標識,以確定其操作是否合法。
用戶成功地登錄之后,只要用戶沒有注銷自己,其在系統中的權力就以存取標識為準,NT安全系統在此期間不再檢查安全帳戶數據庫。這主要是考慮到效率。
存取標識的作用相當于緩存,只不過存取標識緩存的是用戶安全信息,使得系統不必再從硬盤上查找。安全帳戶數據庫是由域用戶管理器來維護的,在某個用戶登錄后,有可能管理員會修改其帳戶以及權力等,但這些修改只有在用戶下次登錄時才有效,因為NT安全系統在用戶登錄后只檢查存取標識,而不是檢查安全帳戶數據庫。比如User1已登錄到了NT系統中,管理員發現其缺少了某種權力,就用域用戶管理器做了相應的修改,那么,除非User1重新登錄一次,否則User1仍無法享有該權力。
存取標識包含的內容并沒有訪問許可權限,而存取標識又是用戶在系統中的通行證,那么NT如何根據存取標識控制用戶對資源的訪問呢?
原來,給資源分配的權限作為該資源的一個屬性,與資源一起存放。比如有目錄為D:Files,對其指定User1只讀,User2可完全控制,則這兩個權限都作為D:Files目錄的屬性與該目錄連在一起。在NT內部以訪問控制列表)的形式存放。ACL中包含了每個權限的分配,以訪問控制項來表示。ACE中包含了用戶名以及該用戶的權限。比如上面提到的這個例子中,D:Files的ACL中有兩個ACE,分別是User1:只讀,User2:完全控制。當User1訪問該目錄時,NT安全系統檢查用戶的存取標識,與目錄的ACL對照,發現用戶存取標識中的用戶名與ACL中有對應關系且所要求的權限合法,則訪問獲得允許,否則,訪問被拒絕。
