На моем рабочем месте мы включаем модель разрешений Windows DACL в наше приложение и стремимся найти разрешения для файлов / папок с помощью API разрешений Windows.
При просмотре документации TRUSTEE_TYPE, мы поняли, что для нас TRUSTEE_TYPE всегда будет TRUSTEE_IS_USER, поскольку наше приложение всегда будет запускаться вошедшим в систему пользователем.
Но я хотел бы больше узнать об оставшихся TRUSTEE_TYPE с.В частности
TRUSTEE_IS_GROUP,
TRUSTEE_IS_DOMAIN,
TRUSTEE_IS_ALIAS,
TRUSTEE_IS_WELL_KNOWN_GROUP,
TRUSTEE_IS_COMPUTER
Когда эти другие типы появляются на картинке?
То есть, учитывая процесс программы / приложения, каким образом группа / домен / псевдоним / well_known_group / computer становится ее TRUSTEE_TYPE?Если да, то кто это делает?
Другими словами, в каких ситуациях TRUSTEE_IS_USER не установлен и настроен на другие типы, упомянутые выше?
======================================================
Обновление
Подробности использования:
Мы реализуем возможность извлекать / изменять разрешения для файлов / папок с помощью API-интерфейсов интерфейса dacl, таких как GetFileSecurity ии т. д.
Мы преобразуем эти разрешения в наши собственные пользовательские битовые маски, такие как user_read, group_read и domain_read, чтобы этот интерфейс был легко принят другими разработчиками.
Но, читая теорию о типах доверенных лиц и модели разрешений dacl, мы понимаем, что тип доверенного лица устанавливается во время запуска процесса зарегистрированным пользователем / владельцем (это почти всегда верно).
Мы как бы пытаемся создать взаимно-однозначное сопоставление между типами доверенных лиц (с общими разрешениями windows) и нашими битовыми метками пользовательских разрешений.
Наше приложение почти всегда запускаетсявошли в систему пользователя и, следовательно, при запросе оконных разрешений API, мы устанавливаем тип опекуна как пользователь.
Теперь мы пытаемся понять, должен ли (вообще или когда-либо) этот тип опекуна быть group / domain / alias /well_known_group / computer, поскольку мы создаем наши собственные битовые маски для каждой из них, что кажется расточительным, учитывая, что наш опекун всегда будет пользователем.
Отсюда вопрос.