重定向器
通用命名规范
UNC路径:/ / [服务器] / [共享名] / [路径]
MUP是一种资源定位器,负责选择具体的网络提供者。WINDOWS最有特色的网络提供者成为“MICROSOFT网络用户”(MSNP)M S N P提供了一个特殊的重定向器,可直接与网络传送层和N e t B I O S打交道,以便在客户
机与服务器之间建立通信,叫作“ L A N管理器重定向器”(LAN Manager Redirector)N e t B I O S接口可通过大量网络协议进行通信。这便使得M S N P重定向器具有了“与协议无关”的特性,但通信双方必须安装一种通用的协议用来通信,M S N P重定向器与其他工作站通信时,需要向对方的“重定向器服务器”服务发送消息。
这些消息采用一种固定的结构形式,称为S M B。
实例:
假定通过一个网络打开/ / M y s e r v e r / M y s h a r e / S a m p l e . m p 3,那么各组件的通信情况
是怎样的。如下所示:
1) 使用C r e a t e F i l e这个A P I函数,应用程序向本地操作系统提交一个请求,要求打开/ / M y s e r v e r / M y s h a r e / S a m p l e . m p 3。
2) 根据从U N C路径描述中获得的信息,本地(本机)操作系统的文件系统判断出该I / O(输入/输出)请求的目的地是一台远程机器,名为/ / M y s e r v e r,所以将此请求传递给M U P。
3) MUP调查出该I / O请求发给的是一个M S N P提供者,因为网上的/ / M y s e r v e r机器正在使用N e t B I O S名字解析机制。
4) I/O请求随即传给M S N P提供者的重定向器。
5) 重定向器将此请求格式化成一条S M B消息,要求打开包含在远程/ M y s h a r e目录下的S a m p l e . m p 3文件。
6) 格式化好的S M B消息终于通过一种网络传送协议,正式送入网络。
7) 名为/ / M y s e r v e r的服务器从网上接收到这个S M B请求,并将请求传给服务器的M S N P重定向器服务器服务。
8) 服务器的重定向器服务提交一个本地I / O请求,希望打开位于/ M y s h a r e这个共享位置处的S a m p l e . m p 3文件。
9) 服务器的重定向器服务格式化好一条S M B响应消息,指出本地打开文件的I / O请求是成功,还是失败。
10) 通过一种网络传送协议,服务器的这条S M B响应消息返回客户机。
11) MSNP重定向器收到服务器的这条S M P响应消息,并向本机操作系统传递一个返回代码。
12) 本机操作系统再将该代码返回给当初应用程序的CreateFile API请求。
安全描述符
对需要保密的所有对象来说,都应包含一个特殊的“安全描述符”(Security Descriptor),
规定自己特有的访问控制信息。在一个安全描述符内,包含了一个S E C U R I T Y _ D E S C R I P TO R结构,以及对应的安全信息,包括:
■ 所有人安全标识符( Security Identifier,S I D):代表对象所有人。
■ 组S I D:指定对象的主组所有人。
■ 授权访问控制列表( Discretionary Access Control List,D A C L):指定能由哪些人进行什么类型的访问。访问类型包括读、写及执行权限等。
■ 系统访问控制列表( System Access Control List,S A C L):指定需要为哪些类型的访问企图生成审核记录,以便将来稽查。
安全描述符的D A C L和S A C L字段指定的是访问控制列表( access control list, ACL)。这些字段可能包含了零值,或包含着更多的访问控制条目( access control entities, ACE)。每个A C E都负责指示着指定用户或用户组对这个对象的访问是否允许。如果DACL中是一个空值那就允许所有人对它的访问,
访问令牌
用户登录进入一个Windows NT系统后,系统会对用户的帐号名和密码进行验证,两者统称为“登录凭据”。若用户登录成功(即验证通过),系统便会创建一个相应的访问令牌,并将该用户的S I D分配给它。以后用这个登陆用户的令牌去查看是否允许对某个对象的访问,在网络中同样如此!
