Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Posix-Subsystem muss in der Lage sein, jede sicherheitsrelevante ID (SID) in einen 32-Bit-Wert zu übersetzen, der als Posix-ID bezeichnet wird. Darüber hinaus muss sie in der Lage sein, die ID entweder als Benutzer-ID oder als Gruppen-ID zu kategorisieren. Um zu verstehen, wie diese Zuordnung erreicht wird, sehen wir uns zunächst die SIDs an, die zugeordnet werden müssen.
SIDs verfügen über zwei Komponenten: die SID der Domäne und die relative ID des Kontos in der Domäne. In der SID S-1-518364-21-43-8 ist beispielsweise die letzte Zahl 8 die relative ID (RID) des Kontos und S-1-518364-21-43 die SID der Domäne.
Domäneninformationen werden in TrustedDomain-Objekten gespeichert. Ein Teil der in einem TrustedDomain-Objekt gespeicherten Informationen ist ein Posix-ID-Offset, der für SIDs innerhalb dieser Domäne verwendet werden soll. Angenommen, eine TrustedDomain ist wie folgt definiert:
Name: NtPgm
Sid: S-1-518364-21-43
Posix Offset: 0x130000
Posix-IDs für Konten in dieser Domäne werden generiert, indem 0x130000 zur relativen ID des Kontos hinzugefügt wird. Die Posix-ID, die der SID S-1-518364-21-43-8 entspricht, wäre also 0x130008.
Nicht alle Posix-ID-Übersetzungen verwenden ein TrustedDomain-Objekt . Die folgende Tabelle zeigt SIDs, die mit bekannten Offsetwerten zugeordnet werden.
| `Source` | Posix-ID-Offset |
|---|---|
| SIDs aus der integrierten Domäne | 0x20000 |
| SIDs aus der Kontodomäne | 0x30000 |
| SIDs aus der primären Domäne (nur auf Arbeitsstationen) | 0x40000 |
Und schließlich erfordert ein weiterer Satz von SIDs, Logon-SIDs, eine spezielle Verarbeitung. Diese Werte werden vom Windows-Anmeldeprozess für jede Anmeldesitzung zugewiesen und weisen das Format S-1-5-5-5-X-Y auf, wobei X und Y als einzelne LARGE_INTEGER behandelt werden, die für jede Anmeldesitzung erhöht wird. Diese SIDs werden der konstanten Posix-ID 0xFFF zugeordnet. Um die Posix-ID 0xFFF zuzuordnen, können Sie den Anmeldebezeichner übersetzen, der für die Situation am besten geeignet ist, oder Sie können standardmäßig S-1-5-5-0-0 verwenden. (Wenn beispielsweise ein posix-Benutzer Schutz auf ein Objekt anwendet und FFFx angibt, ist es besser, den Anmeldebezeichner dieses Benutzers zu ersetzen, als nur S-1-5-5-0-0 zuzuweisen.)