Access Token Member Неоднозначность

Question

Согласно этой статье о токенах доступа , токен содержит несколько частей информации, в том числе:

• Идентификатор безопасности (SID) для учетной записи пользователя
• Владелец SID

Я ожидаю, что SID владельца и SID учетной записи пользователя будут одинаковыми. В каком примере сценария они будут другими?

Дополнительная документация объясняет, что SID входа в систему токена доступа иногда используется в DACL. Я хотел бы знать «шаблон» безопасности, где DACL будет назначен доступ или отказ в определенном SID входа в систему. На первый взгляд, это похоже на надуманный случай. О единственном использовании, которое я мог себе представить, было бы запретить одному зарегистрированному пользователю иметь представление о том, какие другие пользователи также вошли в систему. Есть еще что-то?

Answer 1

Владелец SID представляет собой объект, который должен быть назначен владельцем любых объектов, созданных под фокальным токеном .Один из ключевых сценариев, при котором можно ожидать, что SID владельца будет отличаться от SID входа, - это когда Системные объекты: Владелец по умолчанию для объектов, созданных членами группы администраторов , локальная политика безопасности настроена так, чтобыГруппа администраторов становится владельцем объектов, созданных вошедшим в систему администратором.

Единственные действительно "типичные" случаи использования идентификатора входа в систему в DACL могут быть при управлении доступом к процессу или временному ресурсу, запущенному подтекущий сеанс входа.Подробнее см. http://blogs.msdn.com/b/david_leblanc/archive/2007/07/29/logon-id-sids.aspx.