Поделиться через

Попечителей

  • Статья

Доверенное лицо — это учетная запись пользователя, учетная запись группы или сеанс входа, к которому применяется запись управления доступом (ACE). Каждый ACE в списке управления доступом (ACL) имеет один идентификатор безопасности (SID), определяющий доверенного лица.

Учетные записи пользователей включают учетные записи, которые пользователи или программы, такие как службы Windows, используются для входа на локальный компьютер.

Учетные записи групп нельзя использовать для входа на компьютер, но они полезны в ACEs, чтобы разрешить или запретить набор прав доступа к одной или нескольким учетным записям пользователей.

идентификатор безопасности входа, определяющий текущий сеанс входа, полезен для разрешения или запрета прав доступа только до тех пор, пока пользователь не выключится.

Функции контроля доступа используют структуру TRUSTEE для идентификации доверенного лица. Структура TRUSTEE позволяет использовать строку имени или идентификатор безопасности для идентификации доверенного лица. Если вы используете имя, функции, создающие ACE из структуры TRUSTEE, выполняют задачу выделения буферов БЕЗОПАСНОСТИ и поиска идентификатора безопасности, соответствующего имени учетной записи. Существует две вспомогательные функции, BuildTrusteeWithSid и BuildTrusteeWithName, которые инициализируют структуру TRUSTEE с указанным идентификатором безопасности или именем. BuildTrusteeWithObjectsAndSid и BuildTrusteeWithObjectsAndName позволяет инициализировать структуру TRUSTEE с данными ACE для конкретного объекта. Три других вспомогательных функции, GetTrusteeForm, GetTrusteeNameи GetTrusteeType, извлекают значения различных элементов структуры TRUSTEE.

Элемент ptstrName структуры TRUSTEE может быть указателем на структуру OBJECTS_AND_NAME или OBJECTS_AND_SID. Эти структуры указывают сведения о объекте ACE в дополнение к имени доверенного лица или идентификатору безопасности. Это позволяет таким функциям, как SetEntriesInAcl и GetExplicitEntriesFromAcl для хранения сведений ACE для конкретного объекта в доверенном члене структуры EXPLICIT_ACCESS.