[ bluesman @ 16.01.2003. 11:38 ] @
|
| Mene interesuje da mi neko objasni jednu nelogicnost (po mom shvatanju) u Windows 2000 Professional
Zasto je po defaultu u Security za root hdd postavljeno za "everyone" da imaju "Allow" sve po spisku? Prvi put kada sam to video pomislio sam da se nesto "sjebalo" ali svaki put kada sam instalirao win2k vidim da je isto. To je po meni potpuno nelogicno, pa ako nekome nije tesko da mi bar objasni logiku, bio bih zahvalan.
Po mojoj logici to je kao da na linux-u daš root permission za nobody. |
[ Shadowed @ 16.01.2003. 13:44 ] @
To je zato sto se Permissions po defaultu nasledjuju. Tako da root ima Allow Full Control ali dalje poddirektorijumi imaju neka ogranicenja koja su vec nesto restriktivnija. Ako bi na root-u bilo recimo samo citanje ili mozda ni to (s obzirom da je to ipak Everyone) to bi se nasledilo na poddrirektorijme i nista ne bi funkcionisalo. Naravno ovo nasledjivanje se moze iskljuciti.
Nadam se da je odgovor zadovoljavajuci a ako te jos nesto muci pitaj.
[ bluesman @ 16.01.2003. 21:42 ] @
Bas to me i zbunjuje. ako se nasledjuje a na root-u "everyone" ima SVA prava, znaci da po logici stvari i na svim podfolderima ima ista prava. A koliko kapiram everyone podrazumeva i administratore i "anonimous logon" i "dialup"... Meni je to nelogicno, mozda sam glup ili imam cudnu logiku, ali tako je. :-)
Meni je logicno da recimo "Authenticated Users" imaju ta prava, a "everyone" samo za one foldere gde se to explicitno navede.
BTW, sta je u Policy medju ostalima (administrators, backup operators...) i grupa "*S-1-5-21-1202660629-854245398-1957994488-1001" ili "*S-1-5-21-1202660629-854245398-1957994488-1000"
[ Mihailo @ 17.01.2003. 13:32 ] @
To što everyone ima dozvole za disk ne znači da oni automatski imaju prava nad \Windows ili nekim drugim dir-om, pogledaj Effective permissions za \Windows. Svrha naseđivanja je da kada napraviš novi dir ne moraš da dodaješ prava za korisnike, već on nasledi prava koja ima njegov updir. Naravno ti kontrolišeš da li će biti nasleđivanja, ko će koje dozvole da nasledi i postavljaš eksplicitne dozvole/zabrane.
Taj string "S-1-5-21 ..." je SID (Security ID), u ovom slučaju usera ili grupe, a SID se pojvavljuje zato što Windows iz nekog razloga ne može da pronađe ime tom korisniku (pa da prikaže ime, jel). Interno se sve grupe i useri identifikuju pomoću SID-a, dok se imena samo prikazuju.
[ Shadowed @ 18.01.2003. 17:19 ] @
Upravo tako. Ako root ima Alow Full Conrol za Everyone i eventualno jos nesto, Winnt to nasledi ali se na to nasledjeno nadoveze novo podesavanje koje kaze Everyone ima samo pravo citanja, Users takodje, Administrators Full Control. Zatim ovo moze da se nasedi dalje i eventualno izmeni itd. Nadam se da je sad jasnije...
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.