Экономическая информатика-стр.184

В системе Windows NT для контроля над доступом к объектам используются два типа прав - локальный и удаленный.

В локальные права входят разрешения файловой системы NTFS (запись, чтение, выполнение, удаление, изменение разрешений).

Удаленные права контролируются общими ресурсами. Общий ресурс - это сетевой ресурс, позволяющий пользователям удаленных компьютеров получать доступ по сети к объектам. Общий ресурс является объектом, указывающим на объект локального ресурса. Общий ресурс имеет собственный набор разрешений (полный запрет, полный доступ, просмотр, чтение и др.).

Для пользователей, принадлежащих к нескольким группам, имеющим разрешение на доступ к одним и тем же ресурсам, разрешения складываются. Доступ разрешается в том случае, если среди всех разрешений нет указателя на запрет доступа к ресурсу.

Права доступа к объекту определяются тем, является ли он контейнерным (например, каталог) или неконтейнерным (например, файл). Неконтейнерные объекты, содержащиеся внутри контейнерных объектов, могут наследовать определенные типы прав доступа от родительского контейнера.

Для контроля и управления доступом программ пользователя к объектам, чтобы они не превышали прав самого пользователя, используются субъекты. Субъект - это комбинация маркера доступа пользователя и программы, работающей от имени пользователя. Например, если пользователь имеет право на чтение из определенного файла, то программа файла не сможет выполнить запись в этот файл и будет иметь право, как и пользователь, только на чтение.

Технология, позволяющая процессу брать атрибуты безопасности другого процесса, называется имперсонацией. Например, для решения задачи клиента необходимы ресурсы, к которым сервер не имеет доступа. В этом случае серверному процессу, действующему от лица клиента, присваиваются атрибуты безопасности клиентского процесса.