مراقبة الدخول الى قوائم قائمة تحكم في الدخول
الخيار واضح للمراقبة الدخول الى هذه المصفوفه لتخزين كل عمود مع موضوع وهو يمثل. وهكذا ، كل وجوه وقد المرتبطه به مجموعة من الازواج ، كل زوج مع الموضوع والذي يتضمن مجموعة من الحقوق. المدعو الموضوع يمكن الوصول المنتسبه الجسم باستخدام اي من تلك الحقوق. أكثر رسميا :
اسمحوا دا يكون مجموعة من المواضيع ، وصاد مجموعة من الحقوق ، للنظام. مراقبة الدخول في قائمة ل (قائمة تحكم في الدخول) هو مجموعة من الازواج ل = ((ق ، ص) : تدرج في ق ق ، ص ص المدرجه في). اسمحوا قائمة تحكم في الدخول تكون دالة على ان يحدد وصول قائمة المراقبة ل المرتبطه جسم معين سين تفسير مراقبة الدخول قائمة قائمة تحكم في الدخول (س) = ((si ، ري) : 1 <= أنا <= ن) هو ان الموضوع قد si س الوصول باستخدام اي حق في ري.
مسألة واحدة هي مسألة التقصير اذن. اذا الموضوع ليس وردت اسماؤهم في قائمة تحكم في الدخول ، وانها لا تملك حقوقا على وجوه المرتبطين بها. على النظام مع العديد من الموضوعات ، قائمة تحكم في الدخول قد تكون كبيرة جدا. إذا كان العديد من المواضيع التي لها نفس الحق في اكثر من ملف ، ويمكن للمرء ان يحدد "شامل القيمه" الى المباراة اي مواضيع لم تذكر اسماؤهم ، واعطائهم الافتراضي الانسان.
| مثلا : نظام تشغيل مشابه ل ينيكس 7.0 acls قد شكل مدخلا ل(مستعمل ، فريق ، الانسان). واذا كان المستخدم هو في فريق اسمه ، لديه تلك الحقوق اكثر من هدف. على سبيل المثال ، فإن الثلاثي (هولي ، maceranch ، ص) يعطي المستخدم هولي قراءة (ص) وصول اكثر من هدف إلا عندما هولي وقد maceranch حسب مجموعتها.
اما اذا كان مستخدم او مجموعة محددة كما هو "*" ، التي تتخذ طابع المباراة لجميع المستخدمين او جميع الفئات. وهكذا ، (هولي ، * ، ص (هولي يعطي قراءة اكثر من موضوع باذن بغض النظر عن الفريق الا انها فى ؛ (* ، Maceranch ، ص) يعطي أي إذن المستخدم قراءة اكثر من هدف عندما أن المستخدم هو في مجموعة maceranch. |
المختصرات من الوصول الى قوائم المراقبة
اختصر بعض نظم مراقبة الدخول الى القوائم. واستنادا الى الملف لمراقبة الدخول في نظام التشغيل يونيكس هو من هذا التنوع. يونيكس نظم تقسيم مجموعة من المستخدمين الى ثلاث فئات هي : مالك الملف ، المجموعة المالكه للملف ، وسائر المستخدمين. كل فئة لديها مجموعة مستقلة من الانسان.
مثلا : يونيكس نظم تقديم قراءة (ص) ، الكتابة (ث) ، واعدام الانسان (العاشر). عندما مستخدم المطران يخلق الملف ، تفترض انه فى مجموعة vulner. في البداية ، أن أعرب المطران تطلب ان يكون قادرا على القراءة من والكتابة الى الملف ، ان اعضاء المجموعة ان يسمح القراءة من الملف ، وانه ليس لأحد غيرهم من الوصول الى الملف. ثم رخص سيكون قراءة لمالك ، ص للفريق ، وليس لغيرها.
يونيكس الاذونات هي ممثلة بثلاثه اهداف ثلاثة توائم. الاول هو المالك الانسان ؛ الثانية ، والمجموعة الانسان ؛ والثالث ، وغيرها من الحقوق. داخل كل الثلاثي ، الاول هو موقف صاد اذا قرئت الوصول مسموح او اذا لم يكن ؛ الموقف الثاني هو الوصول اكتب ث اذا سمح او اذا لم يكن ؛ والموقف الثالث هو العاشر اذا اعدام الوصول مسموح أو إذا لا. فان الاذونات للالاسقفيه الملف سيكون ادلى.
سؤال مهم هو كيف يونيكس نظم تكليف فريق الملكيه. تقليديا ، يونيكس نظم فعالة في اسناد هوية تعريف المجموعة الرئيسية من عملية خلق. ولكن في بعض الحالات وهذا ليس مناسبا. فعلى سبيل المثال ، لنفترض الخط برنامج تشغيل الطابعه عن طريق استخدام مجموعة الاذونات ؛ اقول مجموعتها هو lpdaemon. ثم ، عندما يقوم المستخدم نسخ الملف الى دليل البكره ، lpdaemon يجب ان تملك بكرة ملف. وأبسط طريقة لانفاذ هذا الشرط هو جعل بكرة دليل المجموعة التي يملكها وlpdaemon لديها فريق الملكيه الذي ورثته جميع الملفات التي انشئت في ذلك الدليل. بعض systemsnotably ، وسولاريس صن أو. اس systemsaugment فان دلاليه للملف وسائط الحمايه من خلال تحديد setgid قليلا عن الدليل عند أي الملفات التي انشئت في الدليل هي وراثه ملكيه مجموعة من تحتوي على دليل. |
المختصرات من الوصول الى قوائم المراقبة ، مثل تلك التي يدعمها نظام التشغيل يونيكس ، ويعاني من فقدان الحبوبيه. افترض أ يونيكس نظام خمسة مستخدمين. تريد ان تسمح لها بيت لقراءة الملف ، كارولين لاكتب اليها ، ديلا القراءة والكتابة اليها ، واليزابيث على تنفيذه. لان هناك فقط ثلاث مجموعات من خمس والاذونات المطلوبة للترتيبات الانسان (بما في اليس) ، وثلاثة ثلاثة توائم غير كافية للسماح لجميع طرق الوصول المرجوة. ومن ثم ، أليس يجب سطا ، واما اعطاء شخص ما حقوقا اكثر مما هي الرغبات او اعطاء شخص ما أقل الانسان. وبالمثل ، يونيكس التقليديه لمراقبة الدخول ، لا يسمح لأحد ان نقول "ولكن الجميع المستخدم فران" ؛ وللقيام بذلك ، يجب على المرء أن خلق مجموعات من جميع مستخدمي باستثناء فران. مثل هذا الترتيب هو امر مزعج ، وذلك لأن مجرد مدير النظام يمكن ان تخلق المجموعات.
نظم العديد من المختصرات زيادة acls مع كاملة acls. ويستخدم هذا المخطط من المختصرات acls كما الافتراضي اذن الضوابط ؛ الصريحة قائمة تحكم في الدخول تجب الافتراضيات حسب الحاجة. بالضبط الاسلوب يختلف.
مثلا : شركة اي بي ام نسخة من نظام التشغيل يونيكس ، ودعا إيكس ، ويستخدم قائمة تحكم في الدخول (يطلق عليه "مدد الاذونات") لزيادة يونيكس المختصرات التقليديه من قائمة تحكم في الدخول (يسمى "قاعدة الاذونات"). خلافا التقليديه acls ، ايكس قائمة تحكم في الدخول ويسمح لأحد ان يحدد الرخص التي يمكن ان تضاف او تحذف من مستخدم للمجموعة. مثل نظام تشغيل مشابه ل ينيكس ، ايكس على اسس مباريات المجموعة وهوية المستخدم. خوارزميه المحددة (ايكس للاستخدام المصطلحات ، التي في "قاعدة الاذونات" هي يونيكس من المختصرات وacls "مددت الاذونات" هي غير مختصر مداخل قائمة تحكم في الدخول) هو على النحو التالي. تحديد مجموعة من الاذونات ق المستعمل من قاعدة الاذونات. اذا امتد الاذونات هي المعوقين ، ووقف. المجموعة دا هو للمستخدم مجموعة من الأذونات. احصل على دخول القادم في مدد الاذونات. واذا لم يكن هناك اكثر من ذلك ، ان تتوقف. المجموعة دا هو للمستخدم مجموعة من الأذونات. واذا كان الدخول قد نفس المستخدم والمجموعة بوصفها عملية وصول الطلب ، لمعرفة ما اذا كان دخول ينفي امكانيه الوصول. وإذا كان الأمر كذلك ، أن تتوقف. الوصول هو نفي. تعديل دا ما تمليه الاذونات في الدخول.
كما وهناك مثال محدد ، والنظر في المسائل التالية تمثيل احد ايكس نظام مراقبة الدخول للالاذونات للملف بحثك. الخواص : قاعدة رخص مالك (المطران) : قراءة - المجموعة (س) : ص -- اخرى : --- مدد رخص مكن تحدد قراءة - يو : هولي تسمح - ث - يو : هايدي ، ز = س - ش تسمح قراءة : مات - ث - نفى يو : هولي ، ز = كلية
في تمديد خطوط الاذونات ، واول ميدان يقرر ما يعني الخط ( "تحدد" على تجاوز قاعدة الاذونات ، "تسمح" لتضيف الانسان ، و"تنكر" حذف الانسان) ؛ الثانية ميدان حقوق الدول المعنية ، وذلك باستخدام يونيكس التقليديه الثلاثي ؛ والثالث الميداني يحدد المستخدم ( "u :") والمجموعة ( "ز :") المعنية.
في هذا المثال ، يمكن ان تقرأ هولي ترتبط لان الاولى والرابعة في تمديد خطوط الاذونات الباب تبطل قاعدة اذن الحرمان من الحصول على الآخرين (من الدرجة التي هو عضو هولي). اذا هولي يعمل في كلية المجموعة ، وقالت انها لا يمكن ان يكتب لبحثك (السطر الاخير) ولكن يمكن ان يقرأها (السطر الاول). مستخدم هايدي ، يعملون في فريق س ، يستطعن القراءة والكتابة الى ملف (مجموعة الخط في قاعدة الاذونات يعطي هايدي أقرأ إذن ؛ أول تصريح في تمديد خط قسم الرخص ويعطى لها أكتب اذن). وبهذه الطريقة ، تمديد رخص زيادة قاعدة الاذونات. |
انشاء وصيانة وصول قوائم المراقبة
تطبيقات محددة من acls تختلف في التفاصيل. بعض القضايا التي هي على النحو التالي.
المواضيع التي يمكن ان تعدل جسم 'sقائمة تحكم في الدخول؟
اما اذا كان ثمة متميزه المستخدم (مثل الجذريه في نظام يونيكس او مدير في ويندوز NT) ، ان تفعل acls ان تنطبق على المستخدم؟
هل قائمة تحكم في الدخول او دعم المجموعات شاملة القيمه (وهذا هو ، يمكن ان يكون المستخدمين تجميعها في مجموعات على أساس نظام مفهوم "المجموعة" ، او على نمط مطابقه)؟
كيف تكون متناقضه مراقبة الدخول الاذونات معالجتها؟ اذا كان احد دخول منح امتيازات قراءة فقط واخرى منح امتيازات الكتابة فقط ، وهو حق لا يخضع لها اكثر من هدف؟
اذا الاعداد الافتراضي هو مسموح به ، ان تفعل الاذونات وتعديل قائمة تحكم في الدخول اليها ، او هو تقصير تستخدم الا عندما يكون الموضوع هو غير مذكوره صراحة في قائمة تحكم في الدخول؟
لأن هذه هي isues الحرجه الى الاستخدام الصحيح للacls على نظام سنبحث لها بمزيد من التفصيل.
المواضيع التي يمكن ان تعدل جسم 'sقائمة تحكم في الدخول؟
قائمة تحكم في الدخول عندما ينشأ الانسان هي instantiated. ومن اهم هذه الحقوق هو احد سنطلق الخاصة بها. الحائزين للبحد ذاتها يمكن تعديل قائمة تحكم في الدخول.
خلق جسم أيضا يخلق اعماله قائمة تحكم في الدخول ، مع بعض القيمه الاولية (ربما فارغه ، ولكن عادة اكثر الخالق هو في البداية نظرا لجميع الحقوق ، بما في ذلك بلده ، وفي مدى وجوه جديدة). من جانب الاتفاقية ، وهذا الموضوع هو الانسان الخاصة بها مع السماح لتعديل قائمة تحكم في الدخول. غير أن بعض النظم يسمح لأحد مع امكانيه الوصول الى التلاعب الانسان.
مثال : الارتباط بعلاقات نظام قاعدة بيانات تحتوي على مجموعات ص - ن tuples المكونة السجلات ، ولكل عنصر من عناصر كل مجموعة ن - وقد الصفات. هذه ن - tuples تخزن كما الجداول ، مع سجلات الصفوف والصفات كما الاعمده. الجدول يعرف كل علاقة.
حقوق ا لبالتلاعب في الجدول (العلاقة) وتشمل قراءة (القراءة للصفوف ، باستخدام سؤال العلاقة ، او تحديد جهات النظر) ، وتحديث (لكتابه الى الجدول) ، تضاف (لاضافة صفوف) ، وحذف (لحذف الصفوف) ، و قطرة) لحذف الجداول). كل الحق معدل له ، ودعا المنحه الخيار ، الذي اذا وضع يسمح لاعطاء المالك حق آخر. اي مستخدم الوصول الى الجدول يمكن ان تعطي الانسان الى أي مستخدم آخر ، وقدمت له منحة حق الخيار. ومن ثم ، فإن امتلاك الوصول) ومنحه خيار المرتبطه بكل حق) ، ليست ملكيه ، وضوابط نقل الانسان. |
هل تنطبق على acls متميزه للمستخدم؟
وقد نظم العديد من المستخدمين مع امتيازات اضافية. الاثنين أشهرها هي جذور العظميين المستخدم على أنظمة يونيكس ومدير البرنامج المستخدم على ويندوز NT ونظم 2000. عادة ، acls (أو تتدهور أشكال) كانت تطبق على نحو محدود لمستخدمي هذه.
مثلا : سولاريس يونيكس نظم استخدام كل من المختصرات acls القياسيه لأنظمة يونيكس وكاملة قائمة تحكم في الدخول. الاختصارات من acls يتم تجاهلها عندما الجذريه هو الموضوع ، ولكن الكامل acls ينطبق حتى على جذور. |
هل قائمة تحكم في الدخول ومجموعات الدعم وشاملة القيمه؟
في شكل تقليدي ، acls لا تدعم الجماعات او شاملة القيمه. في الممارسه ، ودعم النظم واحدة أو اخرى (او كليهما) للحد من حجم من قائمة تحكم في الدخول والادلاء التلاعب في القوائم اسهل. اما مجموعة يمكن صقل خصائص العمليات ليسمح لهم بدخول او يكون مرادفا لمجموعة من المستخدمين (اعضاء المجموعة).
مثلا : في ايكس المثال اعلاه ، ويذكر ان تمديد خطوط اذن (المقابلة الكاملة لقائمة تحكم في الدخول) تمديد رخص مكن
تحدد قراءة - يو : هولي
سماح - ث - يو : هايدي ، ز = س
تسمح قراءة - يو : مات
- ث - نفى يو : هولي ، ز = كلية وفي البداية ، كان قد قرأ مجموعة س اذن فقط على الملف. السطر الثاني ويضيف ان يكتبوا على اذن للعمليات مع هايدي رمز المستخدم ورمز المجموعة س. السطر الأول يعطي هولي رمز المستخدم مع عمليات القراءة والكتابة من الوصول ، الا عندما يكون رمز المجموعة للعملية هي كلية ، وفي هذه الحاله لا يمكن لعملية الكتابة الى وجوه (انظر السطر الرابع). |
مثلا : نظام تشغيل مشابه ل ينيكس نظام التشغيل يوفر acls مماثلة لتلك إيكس ، ولكن يسمح شاملة القيمه. على سبيل المثال ، هولي : maceranch : ص يعني ان عملية هولي مع رمز المستخدم ورمز المجموعة maceranch يمكن قراءة وجوه مع قائمة تحكم في الدخول الذي يرتبط. فان دخول قائمة تحكم في الدخول هولي : * : ص يعني ان عملية مع رمز المستخدم هولي يمكن الوصول الى هدف بغض النظر عن المجموعة ان عملية الدخول ودخول * : Maceranch : ص يعني ان اي عملية مع رمز المجموعة maceranch يمكن قراءة وجوه. |
النزاعات
نزاع ينشأ عند وصول اثنين من قائمة المراقبة مداخل نفس قائمة تحكم في الدخول في اعطاء الرخص المختلفة لهذا الموضوع. هذا النظام يمكن ان تسمح بدخول أي اذا كان الوصول من شأنه ان يعطي الوصول ، واذا تحول دون حصول اي دخول من شأنه ان يحرم من الوصول ، او تطبيق القيد الاول ان مباريات هذا الموضوع.
مثلا : اذا كان الدخول في اي اكس تنفي وصول قائمة تحكم في الدخول ، وهذا الموضوع هو الوصول بغض النظر عن المكان ان دخول. على خلاف ذلك ، اذا كانت قد منحته دخول اي الوصول ، وهذا الموضوع هو الوصول. وهذا مثال على انكار اخذ الاسبقيه. |
مثال : سيسكو المسارات تنطبق الاولى لمراقبة الدخول الى قائمة بدء ان المباريات القادمة الرزمه. اذا لا شيء ينطبق ، الوافد الرزمه هو نبذها. وهذا مثال على النهج الثاني ، مع قاعدة احتياطية للانكار. |
Acls والاذونات الافتراضيه
عندما acls والمختصرات من الوصول الى قوائم المراقبة أو التقصير وصول الانسان يتعايش) كما عن كثير من نظم يونيكس) ، وهناك طريقتان لتحديد حقوق الوصول. الأول هو تطبيق مناسبة دخول قائمة تحكم في الدخول ، اذا كان احد موجود ، والى تطبيق الاذونات او التقصير من المختصرات وصول قوائم الرقابة على خلاف ذلك. والطريقة الثانية هي لزيادة تقصير او الاذونات والمختصرات للمراقبة الدخول مع تلك القوائم في مناسبة دخول قائمة تحكم في الدخول.
مثلا : ايكس مدد رخص تندرج في الفئة الثانية ، لأنها تعدل قاعدة الاذونات. |
مثلا : اذا كان الرزمه ندخل مسار سيسكو متجهه للمضيف على الشبكه وراء مسار ، ولكن ليس له مسار وصول قائمة الدخول التي تسمح الرزمه التي سيتم تقديمها ، الرزمه هو نبذها. وهذا مثال للطريقة الاولى ، لان التقصير اذن هو إنكار. |
الغاء الانسان
الغاء ، او منع حصول هذا الموضوع للوصول الى جسم ما ، ويتطلب ان تخضع للالانسان ان تحذف من الجسم قائمة تحكم في الدخول.
موضوع منع من الوصول الى وجود جسم بسيط. دخول لهذا الموضوع هو حذف من الجسم قائمة تحكم في الدخول. الا اذا كانت محددة الانسان هي التي ينبغي حذفها ، وهم كل البعد عن المواضيع ذات الصلة للدخول في قائمة تحكم في الدخول.
اذا كانت الملكيه لا تسيطر اعطاء الانسان ، الغاء أمر اكثر تعقيدا.
مثلا : العودة الى النظام ر افترض أنا أعطي بيتر تحديث الانسان اكثر من علاقة ر لكن الان ترغب في الغاء لها. ص يذهب الى ان النظام بعد اسقاط ، وحمايه الدولة من النظام ينبغي ان يكون كما كان سابقا أنا ألقى بيتر أي الانسان. على وجه التحديد ، اذا القى بيتر ماري تحديث الانسان ، وأنا عندما يلغى بيتر وتحديث الانسان ، مارى تحديث الانسان ينبغي نقض ما لم شخص آخر غير بيتر كما اعطت بلدها تحديث الانسان.
لتنفيذ هذا ، ويعرف نظام صاد علاقة دعا sysauth. من سمات هذه العلاقة هي (مستعمل ، الجدول ، المانح ، أقرأ ، تضاف ، تحذف ، قطرة ، محدثة). قيم الصفات المقابلة لهذا الانسان هي timestamps مشيرا عندما اعطيت الحق (باستثناء لتحديث ، التي سنتعامل مع لاحقا). فعلى سبيل المثال ، إذا أنا ألقى بيتر يقرأ الانسان على مر الزمن فيما يتعلق التقارير في 10 ، وبيتر اعطاهم الى ماري في وقت 20 ، والجدول سيكون على النحو التالي. | مستعمل | الجدول | المانح | اقرأ |
|---|
بيتر | تقارير | ألأنه | 10 | ماري | تقارير | بيتر | 20 |
اذا انا ويلغي بيتر ويقرأ الانسان ، وقالت ماري الحصول على قراءة الانسان من بيتر بعد أنا زودتها لبيتر ، وقالت يقرأ الانسان من شأنه ايضا ان يكون ملغى. ومع ذلك ، لنفترض ان ميشيل كما قدمت ماري الانسان اكثر من قراءة التقارير. ثم حذف آخر صف في الجدول يترك دخول لmarynamely ، واحدة من ميشيل : | مستعمل | الجدول | المانح | اقرأ |
|---|
بيتر | تقارير | ألأنه | 10 | ماري | تقارير | ميشيل | 5 |
ماري لا تزال حتى يمكن قراءة التقارير.
تحديث حق له قيمة قبل كل شيء ، بعض ، او لا شيء. وهذه القيم تشير الى مجموعة من الصفوف التي يمكن ان تتغير. اذا كانت القيمه هي بعض ، فيما يتعلق ثانية دعا syscolauth سجلات الاعمده التي يمكن استكمال هذا الموضوع. هذا الجدول ايضا سجلات مرات ، والغاء العائدات اما بالنسبة الاعمده الاخرى. |
مثال : ويندوز NT الوصول الى قوائم المراقبة
ويندوز NT يتيح الوصول قوائم المراقبة لتلك الملفات على الملفات حواجز. ويندوز NT تتيح للمستعمل أو مجموعة القراءة والكتابة ، وتنفيذ ، حذف ، وتغيير الاذونات لل، أو اتخاذ ملكيه مجموعة من ملف او دليل. وهذه الحقوق مصنفة في مجموعات تسمى عموما المحال الانسان عامة. الحقوق العامة للملفات هي على النحو التالي.
لا الوصول ، حيث الموضوع لا يستطيعون الوصول الى الملف
اقرأ ، حيث يمكن قراءة هذا الموضوع او تنفيذ الملف
التغيير ، حيث يمكن قراءة هذا الموضوع ، اعدام ، الكتابة ، أو تحذف الملف
السيطرة الكاملة ، بحيث تخضع له جميع الحقوق على ملف القضية
وبالاضافة الى ذلك ، الحق في دخول خاصة وعامة تتيح احالة اي من ستة الاذونات.
ويندوز NT ادلة ايضا لديها فكرة عامة الانسان.
لا الوصول ، حيث الموضوع لا يستطيعون الوصول الى الدليل
اقرأ ، حيث يمكن قراءة هذا الموضوع او تنفيذ الملفات ضمن الدليل
قائمة ، حيث يمكن ان يخضع قائمة محتويات الدليل ويمكن ان تتغير الى دليل ثانوي داخل هذا الدليل
اضف ، حيث الموضوع قد يخلق ملفات او ادلة ثانويه في الدليل
وتضيف قراءة ، والذي يجمع بين الانسان عامة وتضيف قراءة
التغيير ، حيث يمكن أن تخلق هذا الموضوع ، أقرأ ، اعدام ، او كتابة الملفات داخل الدليل ويمكن ان تحذف ادلة ثانويه
السيطرة الكاملة ، بحيث تخضع له جميع الحقوق على ملفات وأدلة ثانويه في الدليل
وكما حدث من قبل ، عام الخاصة الحق في الوصول يتيح احالة مجموعات اخرى من الأذونات.
عندما يقوم المستخدم للوصول ملف ، ويندوز NT الاولى يدرس الملف قائمة تحكم في الدخول. واذا كان المستخدم غير موجودة في قائمة تحكم في الدخول ، وليس عضوا في اي مجموعة المدرجه في قائمة تحكم في الدخول ، هو الوصول الى نفي. خلاف ذلك ، وجدت قائمة تحكم في الدخول تنفي دخول المستخدم الوصول ، ويندوز NT تنفي وصول (وهذا هو إنكار صريح ، والذي يحسب الاولى). اذا كان الوصول ليست صراحة ونفي ، والمستعمل وردت اسماؤهم في قائمة تحكم في الدخول (اما مستخدم او احد اعضاء جماعة) ، المستعمل الاتحاد من مجموعة من الحقوق كل من قائمة تحكم في الدخول في الدخول الذي هو اسم المستخدم.
وكمثال على ذلك ، افترض بول ، كوينتين ، وريجينا هي مستخدمي نظام ويندوز NT. بول وكوينتن هي في فريق الطلبة. كوينتين وريجينا هي في فريق الموظفين. الدليل ه : \ stuff لها الوصول الى قائمة المراقبة لمجموعة (الموظفين ، تضاف) ، (كوينتن ، التغيير) ، (طلاب ، اي الوصول). تحت هذه القائمة ، اول دخول تمكن ريجينا لخلق ادلة ثانويه أو في ملفات ه : \ stuff. الثالث يرفض دخول جميع أعضاء فريق الطلبة من الوصول الى الدليل. المدخل الثاني سيسمح كوينتين حذف ادلة ثانويه ، الا ان كوينتين هو في فريق الطلاب ، في ويندوز NT تنكر صريح (كما هي مبينة في الثالثة دخول) يتجاوز أي من منح الاذن. ومن ثم ، كوينتين الذين لا يستطيعون الوصول الى دليل.
والآن ، اسمحوا ريجينا ايجاد دليل ثانوي في plugh ه : \ stuff. ثم يرفض وصول بول ، ولكن تريد ان تسمح لها كوينتين الى تغيير الوصول. هل هي التالية.
- خلق ه : \ stuff \ plugh ؛ أعماله هي قائمة تحكم في الدخول (للموظفين ، اضافة) ، (كوينتن ، التغيير) ، (طلاب ، اي الوصول).
- تحذف الماضي الدخول في قائمة تحكم في الدخول ؛ من المدخل الثاني ، وهذا يعطي كوينتين تغيير الوصول.
- يضاف دخول (بول ، اي الوصول) الى قائمة تحكم في الدخول.
الخطوة الاخيرة هي زائدة عن الحاجة ، لأن ويندوز NT تنفي حصول التقصير ، بل ومن أكثر أمانا لإضافتها في أي حال ، لا خوفا من فريق الطلبة ان تعطي الانسان. اذا كان ينبغي ان يحدث ، بول ستحصل على تلك الحقوق الا اذا كان (بول ، اي الوصول (دخول حاضرين.
هذا هو مقال اضافها تعزيز فريد