Segurança do Windows: proprietário padrão configurável?

2

O " Como os proprietários são atribuídos e definidos " O artigo de Technet está dizendo:

By default, a new object's owner is the security principal identified as the default owner in the access token attached to the creating process. When an object is created, the SID stored in the access token's Owner field is copied to the security descriptor's Owner field. The default owner is normally an individual—the user who is currently logged on. The only exceptions occur when the user is a member of either the Administrators group or the Domain Admins group. In both cases, the Owner field in the user's access token contains the SID for the group, not the SID for the individual user account. The assumption is that administrative accounts are used only to administer the system and not for any individual purpose. As a result, objects created by one administrator can be managed by other administrators in the same group.

Ao ver isso, imaginei se o proprietário padrão é configurável. O token de acesso está sendo criado no logon, portanto, o atributo default owner seria gerado dinamicamente por um conjunto de regras ou lendo e transferindo um atributo AD / SAM. Se for o último, tecnicamente seria possível definir o default owner para qualquer SID arbitrário.

O (um pouco relacionado) Artigo do MSDN sobre como entender as regras padrão do descritor de segurança está se referindo à seção Especificação Técnica do AD 7.1.3 para detalhes, onde eu esperava encontrar a resposta, mas não consigo encontrar a seção correta como o MS-ADTS parece ter passado por uma grande reescrita desde então.

Alguém que pode lançar alguma luz sobre isso?

    
por the-wabbit 14.08.2014 / 11:15

0 respostas