Исходное сообщение
"Microsoft предложил систему управления доступом IPE для ядра..." Отправлено EULA, 06-Мрт-24 06:01
Ты точно дурак, раз уперся в цифры, а не в смысл. При чем тут нумерология, когда тебе говорят, что системные процессы в Windows не запускаются с правами администратора, для которого не существует ограничений. В Windows я могу запретить SYSTEM доступ к *.dat в профиле пользователя, и никакие групповые политики для пользователя применяться не будут, так как у системных процессов не будет доступа туда. В Unix можно запретить только самому пользователю доступ для профиля, но не системе. Для совсем тупых повторяю, аналог SID S-1-5-18 - ID 1-99. >  У меня просто нет слов от твоего вероломного лицемерия. Если ты не понимаешь, разницу между работающим цифровым идентификатором пользователя и разницу между неработающим идентификатором пользователя, то это только твоя проблема. Для тупых повторю. На несуществующий в системе SID нельзя повесить ACL, чтобы они были доступны для внешнего пользователя. На несуществующий UID можно. Файл с несуществующим UID можно изменять, а файл с несуществующим SID-ом нельзя, чтобы в журнале ФС не появились хвосты, которые не позволят ее восстановить в случае сбоя. > Unix PAM не понимает разницу локального входа в систему от сетевого. Windows AUTH точно не понимает разницу между локальным входом и сетевым. Для нее существуют SID, которые Ю  Алгоритм расчёта прав доступа работает так как я написал. > Этот вонючий маппинг не является самоцелью. Зачем тогда винда делает вонючий маппинг каждый раз, когда по Kerberos ключи получает? Ты хоть в курсе, что в Kerberos передается UID, а не вонючий SID? Зачем винда в лесу каждый раз мапит SID домена пользователя на SID корневого домена? Если грохнешь корневой домен в лесу, то ты не найдешь свои файлы на соседнем домене по SID из своего домена, даже если ты его знаешь. Маппинг придумали как раз в MS, так как в разных уровнях леса и разных уровнях домена SID-ы формируются по разному. Сейчас их ШЕСТЬ вариантов: NT4, NT2000, Server 2003, Server 2008R2 Server 2012R2, Server 2016. > Это сделано специально, чтобы не нужно было делать маппинг по цифрам. Серьезно? А что же тогда SID-ы перестают работать, если винда теряет связь с доменом или перестает работать доверие доменов?  Что же винда теряет SID-ы, если текущий домен был исключен из леса? SID и есть маппинг по цифрам. И если у тебя домен на базе OpenLDAP+MIT, Nowell eDirectory Kerberos, то винда делает маппинг с UID - на SID каждый раз по новому на каждой машине. И твой SID на машине А в таком домене будет отличным от SID-а на машине B. Маппинг нужен лишь для того, чтобы связать домены/системы работающие rfc2307 с теми доменами/клиентами, которые не смогли это осилить. >  Алгоритм расчёта прав доступа работает так как я написал. У тебя по ссылке неписано, что в одном уровне не должно быть противоположных правил. >  а с ним уже даже соединиться нельзя на современных версиях Windows (криптографические шифры в блеклисте), равно как и LanManager, и SMB1 Расскажи это MS, когда они требуют для построения доверия леса включить NTLMv1, так как NTLMv2 не поддерживает передачу SID нижнего по дереву в лесу домена. > Давай ты скинешь ссылку хотя бы на внешнюю статью https://googlegiksearch.github.io/?q=ntlm+%D0%B0&#... >  пожалуйста, перепиши. Во всех системах MacOS, Linux, *BSD, iOS вначале пользователь получает билет kerberos, потом с этим билетом обращается к logon-службе за авторизацией на машине. В Windows пользователь вначале авторизовывается по NTLMv2, то есть обратившись к службе Logon в Windows, а потом уже с авторизационными данными получает билет Kerberos. Именно поэтому нельзя ввести Windows в домен FreeIPA.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Ты точно дурак, раз уперся в цифры, а не в смысл. > При чем тут нумерология, когда тебе говорят, что системные процессы в Windows > не запускаются с правами администратора, для которого не существует ограничений. В > Windows я могу запретить SYSTEM доступ к *.dat в профиле пользователя, > и никакие групповые политики для пользователя применяться не будут, так как > у системных процессов не будет доступа туда. В Unix можно запретить > только самому пользователю доступ для профиля, но не системе. > Для совсем тупых повторяю, аналог SID S-1-5-18 - ID 1-99. >> У меня просто нет слов от твоего вероломного лицемерия. > Если ты не понимаешь, разницу между работающим цифровым идентификатором пользователя и > разницу между неработающим идентификатором пользователя, то это только твоя проблема. > Для тупых повторю. На несуществующий в системе SID нельзя повесить ACL, чтобы > они были доступны для внешнего пользователя. На несуществующий UID можно. Файл > с несуществующим UID можно изменять, а файл с несуществующим SID-ом нельзя, > чтобы в журнале ФС не появились хвосты, которые не позволят ее > восстановить в случае сбоя. >> Unix PAM не понимает разницу локального входа в систему от сетевого. > Windows AUTH точно не понимает разницу между локальным входом и сетевым. Для > нее существуют SID, которые > Ю Алгоритм расчёта прав доступа работает так как я написал. >> Этот вонючий маппинг не является самоцелью. > Зачем тогда винда делает вонючий маппинг каждый раз, когда по Kerberos ключи > получает? Ты хоть в курсе, что в Kerberos передается UID, а > не вонючий SID? > Зачем винда в лесу каждый раз мапит SID домена пользователя на SID > корневого домена? Если грохнешь корневой домен в лесу, то ты не > найдешь свои файлы на соседнем домене по SID из своего домена, > даже если ты его знаешь. Маппинг придумали как раз в MS, > так как в разных уровнях леса и разных уровнях домена SID-ы > формируются по разному. Сейчас их ШЕСТЬ вариантов: NT4, NT2000, Server 2003, > Server 2008R2 Server 2012R2, Server 2016. >> Это сделано специально, чтобы не нужно было делать маппинг по цифрам. > Серьезно? А что же тогда SID-ы перестают работать, если винда теряет связь > с доменом или перестает работать доверие доменов? Что же винда > теряет SID-ы, если текущий домен был исключен из леса? > SID и есть маппинг по цифрам. И если у тебя домен на > базе OpenLDAP+MIT, Nowell eDirectory Kerberos, то винда делает маппинг с UID > - на SID каждый раз по новому на каждой машине. И > твой SID на машине А в таком домене будет отличным от > SID-а на машине B. Маппинг нужен лишь для того, чтобы связать > домены/системы работающие rfc2307 с теми доменами/клиентами, которые не смогли это осилить. >> Алгоритм расчёта прав доступа работает так как я написал. > У тебя по ссылке неписано, что в одном уровне не должно быть > противоположных правил. >> а с ним уже даже соединиться нельзя на современных версиях Windows (криптографические шифры в блеклисте), равно как и LanManager, и SMB1 > Расскажи это MS, когда они требуют для построения доверия леса включить NTLMv1, > так как NTLMv2 не поддерживает передачу SID нижнего по дереву в > лесу домена. >> Давай ты скинешь ссылку хотя бы на внешнюю статью > https://googlegiksearch.github.io/?q=ntlm+%D0%B0%D1%82%D0%B0%D0%BA%D0%B0 >> пожалуйста, перепиши. > Во всех системах MacOS, Linux, *BSD, iOS вначале пользователь получает билет kerberos, > потом с этим билетом обращается к logon-службе за авторизацией на машине. > В Windows пользователь вначале авторизовывается по NTLMv2, то есть обратившись к службе > Logon в Windows, а потом уже с авторизационными данными получает билет > Kerberos. > Именно поэтому нельзя ввести Windows в домен FreeIPA.
	Введите код, изображенный на картинке: