重定向学习笔记

  重定向器

通用命名规范

UNC路径：/ / [服务器] / [共享名] / [路径]

MUP是一种资源定位器，负责选择具体的网络提供者。WINDOWS最有特色的网络提供者成为“MICROSOFT网络用户”（MSNP）M S N P提供了一个特殊的重定向器，可直接与网络传送层和N e t B I O S打交道，以便在客户
机与服务器之间建立通信，叫作“ L A N管理器重定向器”（LAN Manager Redirector）N e t B I O S接口可通过大量网络协议进行通信。这便使得M S N P重定向器具有了“与协议无关”的特性，但通信双方必须安装一种通用的协议用来通信，M S N P重定向器与其他工作站通信时，需要向对方的“重定向器服务器”服务发送消息。
这些消息采用一种固定的结构形式，称为S M B。

实例：

假定通过一个网络打开/ / M y s e r v e r / M y s h a r e / S a m p l e . m p 3，那么各组件的通信情况
是怎样的。如下所示：
1) 使用C r e a t e F i l e这个A P I函数，应用程序向本地操作系统提交一个请求，要求打开/ / M y s e r v e r / M y s h a r e / S a m p l e . m p 3。
2) 根据从U N C路径描述中获得的信息，本地（本机）操作系统的文件系统判断出该I / O（输入／输出）请求的目的地是一台远程机器，名为/ / M y s e r v e r，所以将此请求传递给M U P。
3) MUP调查出该I / O请求发给的是一个M S N P提供者，因为网上的/ / M y s e r v e r机器正在使用N e t B I O S名字解析机制。
4) I/O请求随即传给M S N P提供者的重定向器。
5) 重定向器将此请求格式化成一条S M B消息，要求打开包含在远程/ M y s h a r e目录下的S a m p l e . m p 3文件。
6) 格式化好的S M B消息终于通过一种网络传送协议，正式送入网络。
7) 名为/ / M y s e r v e r的服务器从网上接收到这个S M B请求，并将请求传给服务器的M S N P重定向器服务器服务。
8) 服务器的重定向器服务提交一个本地I / O请求，希望打开位于/ M y s h a r e这个共享位置处的S a m p l e . m p 3文件。
9) 服务器的重定向器服务格式化好一条S M B响应消息，指出本地打开文件的I / O请求是成功，还是失败。
10) 通过一种网络传送协议，服务器的这条S M B响应消息返回客户机。
11) MSNP重定向器收到服务器的这条S M P响应消息，并向本机操作系统传递一个返回代码。
12) 本机操作系统再将该代码返回给当初应用程序的CreateFile API请求。

安全描述符

对需要保密的所有对象来说，都应包含一个特殊的“安全描述符”（Security Descriptor），
规定自己特有的访问控制信息。在一个安全描述符内，包含了一个S E C U R I T Y _ D E S C R I P TO R结构，以及对应的安全信息，包括：
■ 所有人安全标识符（ Security Identifier，S I D）：代表对象所有人。
■ 组S I D：指定对象的主组所有人。
■ 授权访问控制列表（ Discretionary Access Control List，D A C L）：指定能由哪些人进行什么类型的访问。访问类型包括读、写及执行权限等。
■ 系统访问控制列表（ System Access Control List，S A C L）：指定需要为哪些类型的访问企图生成审核记录，以便将来稽查。

安全描述符的D A C L和S A C L字段指定的是访问控制列表（ access control list, ACL）。这些字段可能包含了零值，或包含着更多的访问控制条目（ access control entities, ACE）。每个A C E都负责指示着指定用户或用户组对这个对象的访问是否允许。如果DACL中是一个空值那就允许所有人对它的访问，

访问令牌

用户登录进入一个Windows NT系统后，系统会对用户的帐号名和密码进行验证，两者统称为“登录凭据”。若用户登录成功（即验证通过），系统便会创建一个相应的访问令牌，并将该用户的S I D分配给它。以后用这个登陆用户的令牌去查看是否允许对某个对象的访问，在网络中同样如此！