oup的功能与Creator Owner十分类似,但并不是在子对象上为Creator Owner添加权限,而是为Creator Group赋予允许或者拒绝的权限。
? Self作为对象的一个占位符。例如,AD管理员在一个OU上将用户对象属性中的postalAddress属性为Self设置了Write权限。当你创建一个称为Jan的用户之后,用户Jan对这个postalAddress属性将具备写的权限(也就是说,Jan可以自行更改用户属性中postalAddress地址的权力)。注意在其他用户对象上相同的Self权限,Jan将无法更改其他用户的postalAddress属性,因为Self仅仅针对其自身的用户帐户。
默认情况下,Windows为Self赋予组成员关系Read的权限。这个设置保证了每个组成员都可以查看他们所在的组还有其他成员。由于AD还赋予了Authenticated Users对组成员列表读的权限,所以Authenticated Users也可以看到相同的内容。
功能强大但是稍显复杂
至此,你大概已经了解了Windows内置安全主体具备的强大功能,对Windows如何进行访问控制更加加深了一些理解。看看Windows Server 2003中新增的内置安全主体,以及权限委派、自我管理的应用越来越普及,可以想象将来的Windows还将添加更多的内置安全主体。