| |
| |
|
 | Mir streuben sich gerade etwas die Haare bei dem, wie Microsoft scheinbar seine Automatische Vererbung geregelt hat: 
In der Kontrollstruktur des Security-Descriptors gibt es da den Flag SE_DACL_PROTECTED. Anstatt zu beschützen entfernt dieser Flag scheinbar alle im DACL mit dem Flag INHERITED_ACE gekennzeichneten ACEs aus dem DACL.
Der Flag SE_DACL_AUTO_INHERRIT_REQ bewirkt scheinbar, das alle
ACEs aus dem DACL entfernt werden. Danach sucht das System scheinbar im Parentobjekt nach ACEs mit aktivierten Vererbungsflags und kopiert diese ACEs dann in den vorher leeren DACL. Eine automatische Vererbung eines neu erstellten ACEs an bereits bestehende Unterobjekte ist also nur possibile, wenn danach alle Unterobjekte mit dem Flag SE_DACL_AUTO_INHERRIT_REQ kekennzeichnet werden! Dabei müssen gleichzeitig alle INHERITED_ACE Flags aus den jeweiligen DACLs der Unterobjekte entfernt werden (sonst bleibt evtl. nur leerer Müll übrig)!!!
Schöne Automatik! Kann das jemand bestätigen? Habe im Augenblick nur Fragen und Probleme zur automatischen Vererbung im Internet gefunden, aber keine vernünftige Erklärung, wie das richtig zu machen ist... 
Selbst die Erkenntnisse in diesem Posting habe ich mir in den letzten Stunden selbst aus der Nase gezogen  . |
|
| |
| |
| |
|
|
| Lag an mir und nicht an Bill. Hatte gleich mehrere Fehler gemacht:
1. Versucht eine Sache mit APIs zu regeln, die damit nicht zu regeln sind.
2. Versucht, die Kontrollstrucktur eines Security-Descriptors zu ändern, bevor ich Änderungen abgespeichert hatte.
Jetzt hauts hin...  |
|
| |
| |
| |
|
|
| Nochmals im Klartext:
Die Lowlevel APIs (SetFileSecurity, SetKernelObjectSecurity,...) unterstützen die unter 2000/XP bekannte automatische Vererbung von Zugriffsrechten nicht! Auch das Setzen der Flags der Security-Descriptor Kontrollstruktur bewirkt hier keine Besserung.
Wer Programme per 2000/XP schreibt, sollte stattdessen die API SetSecurityInfo verwenden. Set SetSecurityInfo bei einem Prozess zu verwenden, der während des Bootvorgangs geladen wird, sollte man meiner Meinung nach possibile unterlassen... |
|
| |
| |
| |
|
(512)
Deutsch
English
Français
Español
Italia