Гордеев А.В. Операционные системы (2-е изд., 2004) (1186250), страница 104
Текст из файла (страница 104)
Помимо учетных записейпользователей имеются учетные записи групп. Учетные записи имеют и компьютеры. Идентификаторы несут в себе информацию о типе учетной записи.Учетные записи могут быть объединены в группы. Имеются встроенные группы.Принадлежность учетной записи к одной из встроенных групп определяет полномочия (права, привилегии) пользователя при работе на этом компьютере. Например, члены встроенной группы администраторов имеют максимально возможныеправа при работе на компьютере (встроенная учетная запись администратора равносильна учетной записи суперпользователя в UNIX-системах).Вновь создаваемые учетные записи групп (их называют группами безопасности)используются для определения разрешений на доступ к тем или иным объектам.Для этого каждый объект может иметь список управления доступом (Access ControlList, ACL) 1 .
Список ACL состоит из записей — АСЕ (Access Control Entry). Каждая запись списка состоит из двух полей. В первом поле указывается некий идентификатор безопасности. Во втором поле располагается битовая маска доступа,описывающая, какие разрешения указаны в явном виде, какие не запрещены,и какие запрещены в явном виде для этого идентификатора. При использованиифайловой системы NTFS список ACL реально представлен списком DACL (Discretionary Access Control List).
Ранее (в главе 6) был изложен механизм работыНа самом деле файловые объекты (файлы и каталоги с файлами) имеют списки управления достуном, только если они расположены на дисках с файловой системой NTFS.Операционные системы Windows NT/2000/XP389разрешений NTFS, причем описаны разрешения как для прежней версии NTFS,использовавшиеся вплоть до Windows NT 4.0, так и для файловой системы NTFS5,1которая появилась в Windows 2000 . Здесь мы лишь заметим, что рекомендуетсясоставлять списки управления доступом, пользуясь не учетными записями пользователей, а учетными записями групп.
Во-первых, это позволяет существенно сократить список управления доступом, поскольку групп обычно намного меньше,чем пользователей. Как результат, список будет намного короче, понятнее и удобнее для последующего редактирования. Во-вторых, в последующем можно будетсоздать нового пользователя (и не единожды) и добавить его в соответствующиегруппы, что практически автоматически определит его разрешения на те или иныеобъекты как члена определенных групп. Наконец, в-третьих, список будет быстрее обрабатываться операционной системой.Каждый пользователь должен быть членом как минимум одной встроенной группы и может быть членом нескольких групп безопасности, создаваемых в процессеэксплуатации операционной системы.
При регистрации пользователь получает такназываемый маркер доступа, который содержит, помимо идентификатора безопасности учетной записи пользователя, все идентификаторы групп, в которые пользователь входит. Именно этот маркер сопровождает любой запрос на получение ресурса (объекта), который передается операционной системе.Итоговые разрешения на доступ к объектам, имеющим списки управления доступом, вычисляются как сумма разрешений, определенных для каждой из групп.И только явный запрет на разрешение перечеркивает сумму разрешений, котораяполучается для данного пользователя.Операционные системы Windows NT/2000/XP обеспечивают защиту на локальном уровне. Это означает, что механизмы защиты работают на каждом компьютере с такой операционной системой. Однако это имеет и обратную сторону.
Дело втом, что учетные записи пользователей и групп локальны: они действуют толькона том компьютере, где их создали. Если же есть необходимость обратиться к общим ресурсам компьютера через сеть, нужно, чтобы для пользователя, которыйвыполняет такое обращение к удаленным объектам, была создана такая же учетная запись. Поскольку становится затруднительным обеспечить наличие учетныхзаписей для каждого пользователя на всех тех компьютерах, с ресурсами которыхему необходимо работать, пользуясь вычислительной сетью, в свое время былапредложена технология доменных сетей. В домене, который представляет собоймножество компьютеров, должен быть выделен сервер со всеми учетными записями этого домена. Такой сервер называют контроллером домена. Учетные записидомена 2 в отличие от локальных учетных записей, имеющихся на каждом компыо' В новых серверных операционных системах Windows 2003 Server используется новая версия системыуправления файлами, которая обеспечивает существенное увеличение производительности при работе с файлами.
Версия файловой системы в этих операционных системах осталась прежней — NTFS5.2На контроллере домена, работающем под управлением Windows NT 4.0 Server, база с учетными записями домена по-прежнему представлена файлом SAM. На контроллерах домена, работающих подуправлением Windows 2000/2003 Server, база с учетными записями домена находится в файлеNTDS.DIT, поскольку организация доменов в этих операционных системах возможна только приустановке службы Active Directory.390Глава 11.
Операционные системы Windowsтере с операционной системой типа Windows NT, являются перемещаемыми: онимогут перемещаться с контроллера домена на любой другой компьютер этого домена. В результате, имея множество компьютеров, объединенных в домен, и контроллер домена, на котором созданы все необходимые учетные записи, мы можемиспользовать эти учетные записи для управления доступом к различным ресурсам. Более того, мы можем контролировать использование этих ресурсов и регистрировать попытки несанкционированного доступа к тем или иным объектам.
Контроль за использованием прав и разрешений, а также их регистрация называетсяаудитом.Распределение оперативной памятиВ операционных системах типа Windows NT тоже используется плоская модельпамяти. Однако схема распределения виртуального адресного пространства разительно отличается от модели памяти Windows 9x. Прежде всего, в отличие отWindows 9x, в гораздо большей степени задействуется ряд серьезных аппаратныхсредств защиты, имеющихся в микропроцессорах, а также применено принципиально другое логическое распределение адресного пространства.Все системные программные модули находятся в своих собственных виртуальныхадресных пространствах, и доступ к ним со стороны прикладных программ невозможен.
Центральная супервизорная часть системы, состоящая, как мы теперь знаем, из микроядра, исполняющей системы (Win32 executive), модуля обеспеченияаппаратной независимости, графического интерфейса устройств и оконного менеджера, а также низкоуровневых драйверов устройств, работает в нулевом кольце<b>Текст обрезан, так как является слишком большим</b>.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
