通用命名規範
UNC路徑:/ / [服務器] / [共享名] / [路徑]
MUP是一種資源定位器,負責選擇具體的網絡提供者。WINDOWS最有特色的網絡提供者成爲“MICROSOFT網絡用戶”(MSNP)M S N P提供了一個特殊的重定向器,可直接與網絡傳送層和N e t B I O S打交道,以便在客戶
機與服務器之間建立通信,叫作“ L A N管理器重定向器”(LAN Manager Redirector)N e t B I O S接口可通過大量網絡協議進行通信。這便使得M S N P重定向器具有了“與協議無關”的特性,但通信雙方必須安裝一種通用的協議用來通信,M S N P重定向器與其他工作站通信時,需要向對方的“重定向器服務器”服務發送消息。
這些消息採用一種固定的結構形式,稱爲S M B。
機與服務器之間建立通信,叫作“ L A N管理器重定向器”(LAN Manager Redirector)N e t B I O S接口可通過大量網絡協議進行通信。這便使得M S N P重定向器具有了“與協議無關”的特性,但通信雙方必須安裝一種通用的協議用來通信,M S N P重定向器與其他工作站通信時,需要向對方的“重定向器服務器”服務發送消息。
這些消息採用一種固定的結構形式,稱爲S M B。
實例:
假定通過一個網絡打開/ / M y s e r v e r / M y s h a r e / S a m p l e . m p 3,那麼各組件的通信情況
是怎樣的。如下所示:
1) 使用C r e a t e F i l e這個A P I函數,應用程序向本地操作系統提交一個請求,要求打開/ / M y s e r v e r / M y s h a r e / S a m p l e . m p 3。
2) 根據從U N C路徑描述中獲得的信息,本地(本機)操作系統的文件系統判斷出該I / O(輸入/輸出)請求的目的地是一臺遠程機器,名爲/ / M y s e r v e r,所以將此請求傳遞給M U P。
3) MUP調查出該I / O請求發給的是一個M S N P提供者,因爲網上的/ / M y s e r v e r機器正在使用N e t B I O S名字解析機制。
4) I/O請求隨即傳給M S N P提供者的重定向器。
5) 重定向器將此請求格式化成一條S M B消息,要求打開包含在遠程/ M y s h a r e目錄下的S a m p l e . m p 3文件。
6) 格式化好的S M B消息終於通過一種網絡傳送協議,正式送入網絡。
7) 名爲/ / M y s e r v e r的服務器從網上接收到這個S M B請求,並將請求傳給服務器的M S N P重定向器服務器服務。
8) 服務器的重定向器服務提交一個本地I / O請求,希望打開位於/ M y s h a r e這個共享位置處的S a m p l e . m p 3文件。
9) 服務器的重定向器服務格式化好一條S M B響應消息,指出本地打開文件的I / O請求是成功,還是失敗。
10) 通過一種網絡傳送協議,服務器的這條S M B響應消息返回客戶機。
11) MSNP重定向器收到服務器的這條S M P響應消息,並向本機操作系統傳遞一個返回代碼。
12) 本機操作系統再將該代碼返回給當初應用程序的CreateFile API請求。
是怎樣的。如下所示:
1) 使用C r e a t e F i l e這個A P I函數,應用程序向本地操作系統提交一個請求,要求打開/ / M y s e r v e r / M y s h a r e / S a m p l e . m p 3。
2) 根據從U N C路徑描述中獲得的信息,本地(本機)操作系統的文件系統判斷出該I / O(輸入/輸出)請求的目的地是一臺遠程機器,名爲/ / M y s e r v e r,所以將此請求傳遞給M U P。
3) MUP調查出該I / O請求發給的是一個M S N P提供者,因爲網上的/ / M y s e r v e r機器正在使用N e t B I O S名字解析機制。
4) I/O請求隨即傳給M S N P提供者的重定向器。
5) 重定向器將此請求格式化成一條S M B消息,要求打開包含在遠程/ M y s h a r e目錄下的S a m p l e . m p 3文件。
6) 格式化好的S M B消息終於通過一種網絡傳送協議,正式送入網絡。
7) 名爲/ / M y s e r v e r的服務器從網上接收到這個S M B請求,並將請求傳給服務器的M S N P重定向器服務器服務。
8) 服務器的重定向器服務提交一個本地I / O請求,希望打開位於/ M y s h a r e這個共享位置處的S a m p l e . m p 3文件。
9) 服務器的重定向器服務格式化好一條S M B響應消息,指出本地打開文件的I / O請求是成功,還是失敗。
10) 通過一種網絡傳送協議,服務器的這條S M B響應消息返回客戶機。
11) MSNP重定向器收到服務器的這條S M P響應消息,並向本機操作系統傳遞一個返回代碼。
12) 本機操作系統再將該代碼返回給當初應用程序的CreateFile API請求。
安全描述符
對需要保密的所有對象來說,都應包含一個特殊的“安全描述符”(Security Descriptor),
規定自己特有的訪問控制信息。在一個安全描述符內,包含了一個S E C U R I T Y _ D E S C R I P TO R結構,以及對應的安全信息,包括:
■ 所有人安全標識符( Security Identifier,S I D):代表對象所有人。
■ 組S I D:指定對象的主組所有人。
■ 授權訪問控制列表( Discretionary Access Control List,D A C L):指定能由哪些人進行什麼類型的訪問。訪問類型包括讀、寫及執行權限等。
■ 系統訪問控制列表( System Access Control List,S A C L):指定需要爲哪些類型的訪問企圖生成審覈記錄,以便將來稽查。
規定自己特有的訪問控制信息。在一個安全描述符內,包含了一個S E C U R I T Y _ D E S C R I P TO R結構,以及對應的安全信息,包括:
■ 所有人安全標識符( Security Identifier,S I D):代表對象所有人。
■ 組S I D:指定對象的主組所有人。
■ 授權訪問控制列表( Discretionary Access Control List,D A C L):指定能由哪些人進行什麼類型的訪問。訪問類型包括讀、寫及執行權限等。
■ 系統訪問控制列表( System Access Control List,S A C L):指定需要爲哪些類型的訪問企圖生成審覈記錄,以便將來稽查。
安全描述符的D A C L和S A C L字段指定的是訪問控制列表( access control list, ACL)。這些字段可能包含了零值,或包含着更多的訪問控制條目( access control entities, ACE)。每個A C E都負責指示着指定用戶或用戶組對這個對象的訪問是否允許。如果DACL中是一個空值那就允許所有人對它的訪問,
訪問令牌
用戶登錄進入一個Windows NT系統後,系統會對用戶的帳號名和密碼進行驗證,兩者統稱爲“登錄憑據”。若用戶登錄成功(即驗證通過),系統便會創建一個相應的訪問令牌,並將該用戶的S I D分配給它。以後用這個登陸用戶的令牌去查看是否允許對某個對象的訪問,在網絡中同樣如此!