Los cuatro principios básicos de la configuración de permisos de Windows XP

Los cuatro principios básicos de la configuración de permisos de Windows XP

En Windows XP, existen cuatro principios básicos para la administración de permisos: el rechazo es mejor que el principio permisible , el principio de minimización de la autoridad, el principio de acumulación y el principio de herencia de derechos. Estos cuatro principios básicos desempeñarán un papel muy importante en la configuración de los permisos. Echemos un vistazo:

1. El rechazo es mejor que el principio permitido

< El principio de "permitir" es un principio muy importante y fundamental. Puede manejar perfectamente los permisos causados ​​por la atribución del usuario en el grupo de usuarios. Por ejemplo, "shyzhong" es un usuario que pertenece a ambos.; shyzhongs " grupo de usuarios, también pertenece al grupo "xhxs", cuando realizamos una asignación centralizada de permisos de "escritura" a un recurso en el grupo "xhxs" (es decir, para el grupo de usuarios), esta vez La cuenta de " shyzhong " en el grupo tendrá automáticamente el derecho de " escribir ".

Pero lo que es extraño es que la cuenta tiene claramente el permiso de "escritura" para este recurso, pero ¿por qué no se puede ejecutar en la práctica? Originalmente, en el grupo "shyzhongs", el usuario también establece el permiso para este recurso, pero el conjunto de permisos se "rechaza para escribir". Basado en el principio de "Rechazar mejor que permitir", "shyzhong" tiene el "privilegio de escribir" en el grupo "shyzhongs", al que se le dará prioridad sobre el "permiso permitido" en el "grupo xhxs "". " Se ejecutan los permisos. Por lo tanto, en el trabajo real, los usuarios de "shyzhong" no pueden realizar "escritura" en este recurso.

2. Principio de minimización de permisos

Es muy necesario que Windows XP "mantenga los permisos mínimos del usuario" como principio básico. Este principio garantiza la máxima seguridad de los recursos. Este principio puede intentar limitar los recursos a los que los usuarios no pueden acceder o necesitan acceder sin permisos efectivos.

Sobre la base de este principio, en la asignación de privilegios reales, debemos otorgar explícitamente el permiso o el rechazo al recurso. Por ejemplo, el usuario restringido recién creado en el sistema "shyzhong" no tiene permisos para el directorio "DOC" en el estado predeterminado. Ahora es necesario otorgarle permiso a este usuario para "leer "" en el directorio "DOC". Luego debe agregar los permisos de " read " al usuario de " shyzhong " en la lista de permisos del directorio &DOquo; DOC ".

3. Principio de herencia de permisos

El principio de herencia de permisos hace que sea más fácil establecer permisos para recursos. Supongamos ahora que hay un directorio de "DOC", en este directorio hay subdirectorios como "DOC01", "DOC02", "DOC03", y ahora necesita configurar el directorio de DOC y sus subdirectorios en " shyzhong " El usuario tiene permiso de " write " Debido al principio de la herencia, por lo que sólo a " DOC " la configuración del directorio " shyzhong y " de usuario y " escribir y " permisos, todos los subdirectorios de heredará automáticamente los permisos establecidos.

4. Principio de acumulación

Este principio se entiende mejor, suponiendo que el usuario ahora pertenece al grupo de usuarios "A", que también pertenece al "grupo de usuarios B " que está en A. El permiso del grupo de usuarios es "Leer", y el permiso en el "Grupo de usuarios B &r"; es "Escribir"; luego, de acuerdo con el principio de acumulación, el permiso real del usuario será "Leer" + escribe " dos.

Obviamente, el principio de "rechazar es mejor que permitir" se usa para resolver conflictos en la configuración de permisos; "la privacidad minimiza" es el principio usado para asegurar los recursos; " El principio se utiliza para "automatizar" la configuración de permisos de ejecución, y el "principio adicional" es hacer que la configuración de permisos sea más flexible. Varios principios son útiles, y la falta de uno traerá muchos problemas para establecer los permisos.

Nota: en Windows XP, todos los miembros del grupo "Administradores" tienen el derecho de "apropiarse" (Tomar posesión), es decir, los miembros del grupo Administradores pueden pertenecer a otros usuarios. " El derecho de apoderarse de " su identidad, como los usuarios restringidos " shyzhong " estableció un directorio DOC, y solo le dio derecho a leer, esta configuración de permisos aparentemente cuidadosa, de hecho, el grupo de "Administradores" Todos los miembros podrán obtener este permiso mediante " captura de propiedad ".