根据此article on Access Tokens,令牌包含几条信息,包括:
我希望所有者SID和用户帐户SID相同。在什么示例场景中它们会有所不同?
Further documentation解释了访问令牌的登录SID有时在DACL中使用。我想知道一个安全“模式”,其中DACL将被分配访问或拒绝特定的登录SID。从表面上看,这似乎是一个牵强附会的案例。关于我能想象的唯一用途,就是拒绝一个登录用户查看其他用户也登录的内容。还有更多吗?
答案 0 :(得分:0)
所有者SID represents the entity that should be designated as the owner of any objects created under the focal token。其中一个期望所有者SID与登录SID不同的关键方案是配置System objects: Default owner for objects created by members of the Administrators group本地安全策略选项,以便Administrators组成为登录管理员创建的对象的所有者。 / p>
在DACL中使用登录SID的唯一真正“典型”情况是控制对当前登录会话下运行的进程或瞬态资源的访问。有关详细信息,请参阅http://blogs.msdn.com/b/david_leblanc/archive/2007/07/29/logon-id-sids.aspx。