一个用户可能不只属于一个用户组 ， 但是在某个时刻 ， 一个用户只能属于一个活动的用户组 。
用户组及拥有者名都体现在保护位中 。
存取控制表存取控制表可以决定任何一个特定的主体是否可对某一个客体进行访问 。
它是利用在客体上附加一个主体明细表的方法来表示访问控制矩阵的 。
表中的每一项包括主体的身份以及对该客体的访问权 。
例如 ， 对某文件的存取控制表 ， 可以存放在该文件的文件说明中 ， 通常包含有对此文件的用户的身份 ， 文件主或是用户组 ， 以及文件主或用户组成员对此文件的访问权限 。
如果采用用户组或通配符的概念 ， 这一存取控制信 。

13、息表不会很长 。
目前 ， 存取控制表方式是自主访问控制实现中 ， 比较好的一种方法 。
3)自主访问控制的访问许可在许多系统中 ， 对访问许可与访问模式不加区分 。
但是 ， 在自主访问控制机制中 ， 应当对此加以区分 ， 这种区分会使我们把客体的控制与对客体的访问区别开来 。
由于访问许可允许主体修改客体的存取控制表 ， 因此 ， 利用它可以实现对自主访问控制机制的控制 。
这种控制有三种类型：等级型可以将对客体存取控制表的修改能力划分成等级 。
例如 ， 可以将控制关系组成一个树型结构 。
系统管理员的等级设为等级树的根 ， 根一级具有修改所有客体存取控制表的能力 ， 并且具有向任意一个主体分配这种修改权的能力 。
系统管理员可以按部门将工作人员分成多个子集 ， 并 。

14、对部门领导授与相应存取控制表的修改权和对修改权的分配权 。
部门领导又可将自己部门内的人员分成若干个组 ， 并且对组级领导授与相应的对存取控制表的修改权 。
在树中的最低级的主体不再具有访问许可 ， 也就是说他们对相应的客体的存取控制表不再具有修改权 。
有访问许可的主体（即有能力修改客体的存取控制表） ， 可以对自己授与任何访问模式的访问权 。
这种结构的优点是 ， 通过选择可信任的人担任各级领导 ， 使得能够以可信方式对客体施加控制 。
并且这种控制和人员的组织体系相近似 。
缺点是 ， 对于一个客体而言 ， 可能会同时有多个主体有能力修改它的存取控制表 。
拥有型另一种控制方式是对每个客体设立一个拥有者（通常是该客体的生成者） 。
只有拥有者才是 。

15、对客体有修改权的唯一主体 。
拥有者对其拥有的客体具有全部控制权 。
但是 ， 拥有者无权将其对客体的控制权分配给其它主体 。
因此 ， 客体拥有者在任何时候都可以改变其所属客体的存取控制表 ， 并可以对其它主体授予或者撤消其对客体的任何一种访问模式 。
系统管理员应能够对系统进行某种设置 ， 使得每个主体都有一个“主目录”(home directory) 。
对主目录下的子目录及文件的访问许可权应授予该主目录的主人 。
使他能够修改主目录下的客体的存取控制表 ， 但不允许使拥有者具有分配这种访问许可权的权力 。
可以把拥有型控制看成是二级的树型控制 。
在UNIX系统中 ， 利用超级用户来实施特权控制 ， 就是这样的一个例子 。
自由型自由型方案的特点是 。

16、：一个客体的生成者可以对任何一个主体分配对它拥有的客 体的访问控制权 ， 即对客体的存取控制表有修改权 ， 并且还可使其对它主体也具有分配这种权力的能力 。
在这种系统中 ， 不存在“拥有者”概念 。
例如 ， 一旦一个主体将修改其客体存取控制表的权力与分配这种权力的能力授予了主体 ， 那么主体就可以将这种能力分配给其它主体 ， 而不必征求客体生成者的同意 。
这样 ， 一旦访问许可权分配出去 ， 那么就很难控制客体了 。
虽然可以从客体的存取控制表中查出所有能修改者的名字 ， 但是却没有任何主体能对该客体的安全负责 。
4). 访问模式在实现自主访问控制的各种各样系统中 ， 访问模式的应用是很广泛的 。
这里只介绍最常用的模式 。
文件 。
对文件设置的访问模式 。

17、有以下几种：读拷贝(read-copy)该模式允许主体对客体进行读与拷贝的访问操作 。
在大多数系统中 ， 把read模式作为read-copy模式来设置 。
从概念上讲 ， 作为仅允许显示客体的read模式是有价值的 。
然而 ， 作为一种基本的访问模式类型 ， 要实现仅允许显示客体的read访问模式是困难的 ， 因为它只能允许显示介质上的文件 ， 而不允许具有存储能力 。

稿源：(未知)

【傻大方】网址：/a/2021/0819/0023818168.html

标题：操作系统|操作系统的访问控制( 三 )