視窗技術之研討與管理簡介視窗技術之研討與管理簡介視窗技術之研討與管理簡介視窗技術之研討與管理簡介

曹祖聖台灣微軟資深講師

jimycao@top-light.com.tw

曹祖聖台灣微軟資深講師

jimycao@top-light.com.tw

一窺視窗內部的技術奧秘一窺視窗內部的技術奧秘

22/67/67

講師簡介 How am I ?講師簡介 How am I ?

姓名：曹祖聖 姓名：曹祖聖 Jimy CaoJimy Cao

郵件：郵件： jimycjimycao@top-light.com.twao@top-light.com.tw

證照：證照： MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTMCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT

現任：現任：台灣微軟資深講師台灣微軟資深講師巨匠電腦講師巨匠電腦講師聖擎科技股份有限公司軟體總技術長聖擎科技股份有限公司軟體總技術長光明頂軟體股份有限公司研發顧問光明頂軟體股份有限公司研發顧問行動智慧股份有限公司技術顧問行動智慧股份有限公司技術顧問凌天科技有限公司技術顧問凌天科技有限公司技術顧問專業電腦圖書作家專業電腦圖書作家電腦雜誌專欄作家電腦雜誌專欄作家

姓名：曹祖聖 姓名：曹祖聖 Jimy CaoJimy Cao

郵件：郵件： jimycjimycao@top-light.com.twao@top-light.com.tw

證照：證照： MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTMCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT

現任：現任：台灣微軟資深講師台灣微軟資深講師巨匠電腦講師巨匠電腦講師聖擎科技股份有限公司軟體總技術長聖擎科技股份有限公司軟體總技術長光明頂軟體股份有限公司研發顧問光明頂軟體股份有限公司研發顧問行動智慧股份有限公司技術顧問行動智慧股份有限公司技術顧問凌天科技有限公司技術顧問凌天科技有限公司技術顧問專業電腦圖書作家專業電腦圖書作家電腦雜誌專欄作家電腦雜誌專欄作家

33/67/67

講師簡介 How am I ?講師簡介 How am I ?

經歷：經歷：一級棒資訊股份有限公司系統分析師、專案經理一級棒資訊股份有限公司系統分析師、專案經理華彩教育訓練中心、資策會教育訓練中心講師華彩教育訓練中心、資策會教育訓練中心講師巨匠電腦認證中心兼任講師、專任講師、顧問講師巨匠電腦認證中心兼任講師、專任講師、顧問講師微軟 微軟 TechEd 2000TechEd 2000 、、 20012001 、、 20022002 、、 2003 2003 研討會講師 研討會講師 (6 (6 場場 ))

微軟 微軟 PDC 2002 PDC 2002 研討會講師 研討會講師 (2 (2 場場 ))

微軟 微軟 Windows 2000 Windows 2000 實力札根研討會講師 實力札根研討會講師 (2 (2 場場 ))

微軟 微軟 DevCon DevCon 專業 專業 .NET .NET 開發技術研討會講師 開發技術研討會講師 (8 (8 場場 ))

微軟 微軟 Visual Studio .NET Visual Studio .NET 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))

微軟 微軟 Windows Server 2003 Windows Server 2003 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))

微軟 微軟 Office 2003 Office 2003 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))

微軟 微軟 2003 ISV Training2003 ISV Training 、、 Smart Client ISV Training Smart Client ISV Training 講師講師第一屆認證博覽會講師、巨匠精英展望會講師 第一屆認證博覽會講師、巨匠精英展望會講師 (( 全省巡迴 全省巡迴 3 3 場場 ))

東海、成功、淡江 東海、成功、淡江 … … 等大專院校資訊技能生涯規劃講座講師等大專院校資訊技能生涯規劃講座講師大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問

經歷：經歷：一級棒資訊股份有限公司系統分析師、專案經理一級棒資訊股份有限公司系統分析師、專案經理華彩教育訓練中心、資策會教育訓練中心講師華彩教育訓練中心、資策會教育訓練中心講師巨匠電腦認證中心兼任講師、專任講師、顧問講師巨匠電腦認證中心兼任講師、專任講師、顧問講師微軟 微軟 TechEd 2000TechEd 2000 、、 20012001 、、 20022002 、、 2003 2003 研討會講師 研討會講師 (6 (6 場場 ))

微軟 微軟 PDC 2002 PDC 2002 研討會講師 研討會講師 (2 (2 場場 ))

微軟 微軟 Windows 2000 Windows 2000 實力札根研討會講師 實力札根研討會講師 (2 (2 場場 ))

微軟 微軟 DevCon DevCon 專業 專業 .NET .NET 開發技術研討會講師 開發技術研討會講師 (8 (8 場場 ))

微軟 微軟 Visual Studio .NET Visual Studio .NET 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))

微軟 微軟 Windows Server 2003 Windows Server 2003 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))

微軟 微軟 Office 2003 Office 2003 中文版上市發表會 中文版上市發表會 (( 全省巡迴 全省巡迴 4 4 場場 ))

微軟 微軟 2003 ISV Training2003 ISV Training 、、 Smart Client ISV Training Smart Client ISV Training 講師講師第一屆認證博覽會講師、巨匠精英展望會講師 第一屆認證博覽會講師、巨匠精英展望會講師 (( 全省巡迴 全省巡迴 3 3 場場 ))

東海、成功、淡江 東海、成功、淡江 … … 等大專院校資訊技能生涯規劃講座講師等大專院校資訊技能生涯規劃講座講師大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問

44/67/67

大綱大綱 視窗平台介紹視窗平台介紹

– Windows XPWindows XP– Windows ServerWindows Server– Windows CEWindows CE

視窗作業系統的運作機制視窗作業系統的運作機制– 記憶體管理記憶體管理– 行程管理行程管理– 檔案系統介紹檔案系統介紹– 裝置驅動程式管理裝置驅動程式管理– 視窗安全機制視窗安全機制

其它關鍵程式技術介紹其它關鍵程式技術介紹– GDI+ GDI+ 視窗繪圖技術視窗繪圖技術– Smart DeviceSmart Device– DirectX DirectX 影像與多媒體技術影像與多媒體技術

視窗平台介紹視窗平台介紹– Windows XPWindows XP– Windows ServerWindows Server– Windows CEWindows CE

視窗作業系統的運作機制視窗作業系統的運作機制– 記憶體管理記憶體管理– 行程管理行程管理– 檔案系統介紹檔案系統介紹– 裝置驅動程式管理裝置驅動程式管理– 視窗安全機制視窗安全機制

其它關鍵程式技術介紹其它關鍵程式技術介紹– GDI+ GDI+ 視窗繪圖技術視窗繪圖技術– Smart DeviceSmart Device– DirectX DirectX 影像與多媒體技術影像與多媒體技術

55/67/67

Windows XP

66/67/67

Windows Server

77/67/67

Windows CE

視窗系統架構 視窗系統架構

99/67/67

Windows 2003 架構 ( 簡化版 )

Executive

DeviceDrivers

Hardware Abstraction Layer (HAL)

Kernel

User

Kernel

Win32User Apps

Subsystem DLL

System & ServiceProcesses

POSIXOS/2

Win32User/GDI

Environment Subsystems

1010/67/67

Windows 2003 架構 ( 完整版 )

Executive Services APII/O

SystemSecurityMonitor

Win32GDI

ObjectServices

MemoryMgmt

Processes/Threads

Exec.RTL

DeviceDrivers

Hardware Abstraction Layer (HAL)

Kernel

Object ManagementFileSystems

I/ODevices

DMA/BusControl

CacheControl

Clocks/Timers

PrivilegedArchitecture

InterruptDispatch

Registry

User

Kernel

SystemProcesses

Services User AppsEnvironmentSubsystems

Subsystem DLLInterface DLL

Session MgrWinLogon

ReplicatorAlerter

Event Log

Win32POSIXOS/2

1111/67/67

Executive Services APII/O

SystemSecurityMonitor

Processes/Threads

ObjectServices

MemoryMgmt

Win32GDI

Exec.RTL

DeviceDrivers

Hardware Abstraction Layer (HAL)

Kernel

Object ManagementFileSystems

I/ODevices

DMA/BusControl

CacheControl

Clocks/Timers

PrivilegedArchitecture

InterruptDispatch

Windows 2003 架構 ( 完整版 )

User

Kernel

SystemProcesses

Services User AppsEnvironmentSubsystems

Subsystem DLLInterface DLL

Session MgrWinLogon

ReplicatorAlerter

Event Log

Win32POSIXOS/2

NT

OS

KR

NL

.EX

EN

TO

SK

RN

L.E

XE

1212/67/67

Windows 2003 架構各部元件 #1

Windows 2003 Executive– 作業系統核心部份的最上層– 提供應用程式一般化的介面

• 行程與執行緒的建立與刪除• 記憶體管理• I/O• 行程間呼叫• 安全性

– 在核心模式下執行

1313/67/67

Windows 2003 架構各部元件 #2

Windows 2003 Kernel– 提供低階的作業系統功能

• 執行緒排程• 中斷與例外分配• 多處理器同步

HAL (Hardware Abstraction Layer)– 讓作業系統獨立於硬體平台

• 不同的主機版 ( 晶片組 ) 有不同的 HAL– 提供 I/O 的標準的介面

1414/67/67

Windows 2003 架構各部元件 #3

Device Drivers– I/O 管理員與相對應的週邊硬體之間的介面

• 檔案系統驅動程式、網路通訊協定驅動程式、硬體驅動程式– 驅動程式呼叫 HAL 的功能介面來控制硬體– 可以使用「電腦管理」來檢視所有安裝的驅動程式

Win32 User/GDI (Graphics Device Interface)– 負責實作圖形使用者介面 graphical user interface (GUI)– 視窗的繪製與管理、使用者的介面控制– 繪圖

1515/67/67

Windows 2003 的記憶體定址

Application

(User Process Space)

System

(Kernel, Executive, HAL)

0

2Gb

4Gb

Privileged Memory

Addresses

Unprivileged Memory

Addresses

1616/67/67

子系統元件 API DLLs

• For Win32: Kernel32.DLL, Gdi32.DLL, User32.DLL

Subsystem process• For Win32: CSRSS.EXE

Kernel-Mode GDI Code (Win32 only)

ExecutiveDeviceDrivers

Hardware Abstraction Layer (HAL)

Kernel

User

Kernel

Win32User AppsSubsystem DLL

System & ServiceProcesses

POSIXOS/2

Win32User/GDI

Environment Subsystems

1

2

3

1

2

3

1717/67/67

子系統元件所扮演的角色 API DLLs

– 提供該子系統的所有可供呼叫 API Subsystem process

– Maintains global state of subsystem Win32K.SYS

– 實作 Win32 User/GDI 功能– POSIX 與 OS/2 子系統也會使用這個子系統來做顯示處理

1818/67/67

Win32 子系統 CSRSS.EXE

– 支援主控制模式與視窗模式– 負責建立與刪除 Win32 行程與執行緒

WIN32K.SYS 包含– Window Manager

• 鍵盤、滑鼠輸入，螢幕輸出– Graphics Device Interface (GDI)

子系統中的 DLLs 將 Win32 API 對應到核心模式下的服務呼叫– USER32.DLL, KERNEL32.GDI -> NTOSKRNL

記憶體管理 記憶體管理

分頁處理分頁處理 //虛擬記憶體管理虛擬記憶體管理分頁處理分頁處理 //虛擬記憶體管理虛擬記憶體管理

行程管理 行程管理

Win16/ Win32 Win16/ Win32 行程管理行程管理Win16/ Win32 Win16/ Win32 行程管理行程管理

檔案系統 檔案系統

2424/67/67

影片 : Windows 檔案系統介紹 讓您了解各種檔案系統的差異

– 最大的分割大小– 每一單位儲存空間大小– 安全性支援– 資料壓縮支援

選擇– 依據磁碟大小來選擇最有效率的檔案系統

2525/67/67

FAT / FAT32

適用於小型的磁碟上 所有作業系統都支援 適合用在多重作業系統開機的環境下

Windows XP Professional

Windows 98

FAT/FAT32FAT/FAT32FAT/FAT32FAT/FAT32

2626/67/67

NTFS 提供比 FAT 更好的可靠性 使用檔案權限與 EFS 檔案加密提昇安全性

適合各種容量的磁碟

2727/67/67

檔案系統轉換To: Windows XPTo: Windows XPTo: Windows XPTo: Windows XP

NTFS on Windows 2000

NTFS on Windows 2000

NTFS on Windows NT

NTFS on Windows NT

FATFAT

FATFAT

Conversion notConversion notnecessarynecessary

Conversion notConversion notnecessarynecessary

AutomaticAutomaticconversion duringconversion during

upgrade upgrade

AutomaticAutomaticconversion duringconversion during

upgrade upgrade

Use convert commandUse convert commandUse convert commandUse convert command

Noconversion

Noconversion

NTFS volumeNTFS volume

NTFS volumeNTFS volume

NTFS volumeNTFS volume

NTFS volumeNTFS volume

From:From:From:From:

2828/67/67

NTFS 檔案壓縮 NTFS 檔案與資料夾都有壓縮狀態 當檔案被存取時，會自動在背景進行解壓縮

磁碟空間計算是以未壓縮的大小來算 可以使用不同的顏色來辨別壓縮與否

NTFS partition

FileA

FileB

2929/67/67

壓縮功能的使用建議

決定那一種類型的檔案要壓縮決定那一種類型的檔案要壓縮

避免去壓縮系統或執行檔避免去壓縮系統或執行檔

壓縮固定的檔案，而不要壓縮經常修改的檔案壓縮固定的檔案，而不要壓縮經常修改的檔案

使用不同的顏色來指示壓縮的與否使用不同的顏色來指示壓縮的與否

NTFS NTFS 檔案壓縮檔案壓縮NTFS NTFS 檔案壓縮檔案壓縮

3131/67/67

EFS 介紹 加密 /解密過程背景處理 已加密檔案只能由加密者存取 允許指定回復代理人 可以在本機與網路上進行 可以使用不同顏色來區分檔案加密與否

~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~

3232/67/67

檔案加密

首先要設定檔案的加密狀態

當檔案被儲存時，檔案會用一系列的加密金鑰進行加密

回復代理人的解密金鑰儲存在 Data Recovery Field (DRF)

~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~

DRFDRF

使用者的解密金鑰儲存在 Data Decryption Field (DDF)

~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~

DDFDDF

3333/67/67

增加援權解密使用者

22

11

3434/67/67

檔案解密

使用解密檔案的金鑰解密檔案

使用使用者的私密金鑰來解開 DDF ，以便取得解密檔案的金鑰

EFS 自動偵測檔案的加密狀態，並且找到使用的私密金鑰

~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~

DDFDDF

~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~

3535/67/67

回復代理人

檔原始的加密者私密金鑰不存在時~~~~

~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~

回復代理人可以使用他的私密金鑰解開 DRF ，以便取得解密檔案的金鑰~~~~

~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~

3636/67/67

EFS 的使用建議

加密我的文件夾加密我的文件夾

針對資料夾加密針對資料夾加密

妥善保存憑證資料妥善保存憑證資料

指定回復代理人指定回復代理人

EFS EFS 檔案加密檔案加密EFS EFS 檔案加密檔案加密

裝置驅動程式管理 裝置驅動程式管理

3939/67/67

什麼是裝置 ? 裝置指的是連接到電腦上的設備 例如 : 顯示卡、印表機、網路卡、數據機 裝置可以分成以下兩大類 :

– Plug and Play 隨插即用型裝置• BIOS 與作業系統可以辨識出裝置並且自動調整裝置使用的資源與安裝適當的驅動程式

– Non-Plug and Play 非隨插即用型裝置• BIOS 與作業系統無法辨識出裝置

4040/67/67

什麼是裝置驅動程式 ? 裝置驅動程式 :

– 一個用來讓裝置和作業系統相互溝通的程式– 當作業系統啟動之後便會自動載入執行

在 Windows 作業系統可以正常使用裝置之前，必須要安裝正確的驅動程式

可以使用「裝置管理員」– 識別、安裝、更新裝置驅動程式– 還原到前一版本的驅動程式– 啟用、停用、移除裝置驅動程式

4141/67/67

什麼是裝置驅動程式的簽署 ? 數位簽章用來證明裝置驅動程式符合微軟一系列的測試，適合安裝在 Windows 上

使用已簽署的裝置驅動程式可以確保效能　與穩定性

Windows 提供以下機制與程式– Windows File Protection – System File Checker – File Signature Verification

4242/67/67

如何設定裝置驅動程式簽署 ?

Open SystemOpen System11

Select the check box in Administrator optionSelect the check box in Administrator option44

Click Driver SigningClick Driver Signing22

Select the appropriate driver signing option

Select the appropriate driver signing option

33

4343/67/67

什麼是裝置驅動程式回復 ? 當您安裝了有問題的裝置驅動程式 ，而造成系統異常時，可以將裝置驅動程式回復到上一個版本

但是不可以 : – 回復兩個以上的版本– 回復印表機驅動程式– 同時回復一個多功能裝置的驅動程式

裝置驅動程式管理裝置驅動程式管理裝置驅動程式管理裝置驅動程式管理

系統行程與開機流程 系統行程與開機流程

4646/67/67

系統行程

(Idle) Process id 0Part of the loaded system imageHome for idle threadsAlso called “System Process” in many displays

(System) Process id 8Part of the loaded system imageHome for kernel-defined threadsThread 0 launches the first “real” process, by running smss.exe (Session Manager)

4747/67/67

系統啟動流程BIOS 載入 MBR 並執行， MBR 會尋找開機磁區BIOS 載入 MBR 並執行， MBR 會尋找開機磁區11

開機磁區載入並執行作業系統的第一個檔案 NTLDR開機磁區載入並執行作業系統的第一個檔案 NTLDR22

NTLDR 將系統切換到 32 位元保護模式NTLDR 將系統切換到 32 位元保護模式33

NTLDR 讀取 boot.ini 顯示開機選單NTLDR 讀取 boot.ini 顯示開機選單44

NTLDR 將系統切換回 16 位元真實模式，然後執行 ntdetect.com 偵測硬體

NTLDR 將系統切換回 16 位元真實模式，然後執行 ntdetect.com 偵測硬體

55

NTLDR 讀取 NTDETECT 偵測到的硬體資訊NTLDR 讀取 NTDETECT 偵測到的硬體資訊66

NTLDR 將系統切換到 32 位元保護模式NTLDR 將系統切換到 32 位元保護模式77

NTLDR 啟動 NTOSKRNL.EXENTLDR 啟動 NTOSKRNL.EXE88

4848/67/67

系統啟動流程

winlogon.exe 登入行程 : 啟動 services.exe & lsass.exe;顯示登入畫面，當使用者登入時，執行

userinit.exe

services.exe 服務控制器，負責啟動 /停止系統服務

lsass.exe Local Security Authentication (LSA) Server

userinit.exe 負責啟動 explorer.exe

explorer.exe 桌面環境

smss.exe Session Manager系統第一個建立的行程負責啟動 csrss.exe 與 winlogon.exe

csrss.exe Win32 子系統

開機選單設定開機選單設定開機選單設定開機選單設定

視窗系統安全性 視窗系統安全性

5151/67/67

安全性角色 (Security Principals)– 包含：使用者、群組、服務、電腦– 這些物件都具有 SID

安全性識別碼 SID (Security IDentifier)– 用來唯一辨識物件– 絕對不會重複被使用

安全性描述元 (Security Descriptors)– 用來記錄物件的安全性資訊，包含：

• DACL• SACL

安全性角色 (Security Principals)– 包含：使用者、群組、服務、電腦– 這些物件都具有 SID

安全性識別碼 SID (Security IDentifier)– 用來唯一辨識物件– 絕對不會重複被使用

安全性描述元 (Security Descriptors)– 用來記錄物件的安全性資訊，包含：

• DACL• SACL

安全性元件安全性元件

5252/67/67

DACL– 用來記錄某一個物件，可

以被那些安全性角色所存取，以及存取的權限等級

SACL– 用來記錄某一個物件，所稽核 (Audit) 的對象 ( 安全性角色 ) ，以及所要稽核的動作

DACL– 用來記錄某一個物件，可

以被那些安全性角色所存取，以及存取的權限等級

SACL– 用來記錄某一個物件，所稽核 (Audit) 的對象 ( 安全性角色 ) ，以及所要稽核的動作

DACL 與 DACL Discretionary / System Access Control ListDACL 與 DACL Discretionary / System Access Control List

安全性描述元安全性描述元安全性描述元安全性描述元標頭標頭標頭標頭

擁有者 擁有者 SIDSID擁有者 擁有者 SIDSID

群組 群組 SIDSID群組 群組 SIDSID

DACLDACLDACLDACL

ACEsACEsACEsACEs

SACLSACLSACLSACL

ACEsACEsACEsACEs

5353/67/67

安全性描述元安全性描述元安全性描述元安全性描述元標頭標頭標頭標頭

擁有者 擁有者 SIDSID擁有者 擁有者 SIDSID

群組 群組 SIDSID群組 群組 SIDSID

SACLSACLSACLSACL

ACEsACEsACEsACEs

ACEAccess Control EntriesACEAccess Control Entries

DACLDACLDACLDACL

ACEsACEsACEsACEs

DACL DACL 資料結構資料結構DACL DACL 資料結構資料結構

ACE ACE 標頭標頭ACE ACE 標頭標頭

存取遮罩存取遮罩存取遮罩存取遮罩

使用者使用者 SIDSID使用者使用者 SIDSID 群組群組 SIDSID群組群組 SIDSID

對此物件禁止存取對此物件禁止存取對此物件禁止存取對此物件禁止存取

對此物件允許存取對此物件允許存取對此物件允許存取對此物件允許存取

對某一屬性或子物件禁止存取對某一屬性或子物件禁止存取對某一屬性或子物件禁止存取對某一屬性或子物件禁止存取

對某一屬性或子物件允許存取對某一屬性或子物件允許存取對某一屬性或子物件允許存取對某一屬性或子物件允許存取

5454/67/67

DACLDACL 、、 SACLSACL 、、 ACEsACEsDACLDACL 、、 SACLSACL 、、 ACEsACEs

5555/67/67

DACLDACLDACLDACL

父物件上的權限設定，預設會繼承給子物件，因此可以減少設定權限的次數

如果子物件上另外設定的權限 (ACE) ，與繼承自父物件的權限衝突，以子物件上的權限設定為主

父物件上的權限設定，預設會繼承給子物件，因此可以減少設定權限的次數

如果子物件上另外設定的權限 (ACE) ，與繼承自父物件的權限衝突，以子物件上的權限設定為主

ACL 的繼承關係Inheritance of ACLACL 的繼承關係Inheritance of ACL

使用者使用者存取物件存取物件使用者使用者存取物件存取物件

DACLDACLDACLDACL

User1User1 Read / WriteRead / Write

Group1Group1 ReadRead

父物件父物件父物件父物件

子物件子物件User1User1 Deny ReadDeny Read

Group1Group1 WriteWrite

User1User1 Read / WriteRead / Write

Group1Group1 ReadRead

User1User1 WriteWrite

Group1Group1 Read / WriteRead / Write

權限繼承權限繼承

5656/67/67

ACLACL 的繼承關係的繼承關係ACLACL 的繼承關係的繼承關係

5757/67/67

使用者登入使用者登入帳號 帳號 / / 密碼 密碼 / / 網域網域使用者登入使用者登入帳號 帳號 / / 密碼 密碼 / / 網域網域11

Local Security Local Security Subsystem Subsystem 向 向 DC DC 申請申請使用者的 使用者的 Session Session TicketTicket

Local Security Local Security Subsystem Subsystem 向 向 DC DC 申請申請使用者的 使用者的 Session Session TicketTicket

22

Local Security Local Security Subsystem Subsystem 再向 再向 DC DC 申申請 請 Workstation TicketWorkstation Ticket

Local Security Local Security Subsystem Subsystem 再向 再向 DC DC 申申請 請 Workstation TicketWorkstation Ticket

33

11

使用者登入處理程序使用者登入處理程序

Kerberos Kerberos ServiceService

Kerberos Kerberos ServiceService

Domain ControllerDomain Controller

GC GC ServerServer

GC GC ServerServer

TicketTicketTicketTicket22

TicketTicketTicketTicket33

TicketTicketTicketTicket 44

Access Access TokenToken

Access Access TokenToken

66

Local Local SecuritySecurity

SubsystemSubsystem

Local Local SecuritySecurity

SubsystemSubsystem

建 立 建 立 Access TokenAccess Token

建 立 建 立 Access TokenAccess Token

55

DC DC 上的 上的 Kerberos Kerberos Service Service 將將 Workstation Ticket Workstation Ticket 傳回傳回給用戶端給用戶端

DC DC 上的 上的 Kerberos Kerberos Service Service 將將 Workstation Ticket Workstation Ticket 傳回傳回給用戶端給用戶端

44

Local Security Local Security Subsystem Subsystem 產生出 產生出 Access TokenAccess Token

Local Security Local Security Subsystem Subsystem 產生出 產生出 Access TokenAccess Token

55

使用者使用 使用者使用 Access Access Token Token 來產生後續的 來產生後續的 ProcessProcess

使用者使用 使用者使用 Access Access Token Token 來產生後續的 來產生後續的 ProcessProcess

66

5858/67/67

Access Tokens

AccessAccessTokenToken

AccessAccessTokenToken

Security ID: Security ID: S-1-5-21-146...S-1-5-21-146...

Group IDs: Group IDs: EmployeesEmployeesEVERYONEEVERYONESalesSales

User Rights: User Rights: SetChangeNotifyPrivilegeSetChangeNotifyPrivilege - (attributes) 3- (attributes) 3 SetSecurityPrivilege SetSecurityPrivilege - (attributes) 0- (attributes) 0

Security ID: Security ID: S-1-5-21-146...S-1-5-21-146...

Group IDs: Group IDs: EmployeesEmployeesEVERYONEEVERYONESalesSales

User Rights: User Rights: SetChangeNotifyPrivilegeSetChangeNotifyPrivilege - (attributes) 3- (attributes) 3 SetSecurityPrivilege SetSecurityPrivilege - (attributes) 0- (attributes) 0

Access Token 上包含– 使用者帳號的 SID– 使用者所屬群組的 SID– 使用者所擁有的權力 (Right)

Access Token 上包含– 使用者帳號的 SID– 使用者所屬群組的 SID– 使用者所擁有的權力 (Right)

5959/67/67

DomainDomain

OU1OU1

OU2OU2

存取物件存取物件

11

物件權限的檢查程序物件權限的檢查程序

Security SubsystemSecurity SubsystemSecurity SubsystemSecurity Subsystem

DACLDACLDACLDACL

User1User1 Read / WriteRead / Write

Group1Group1 ReadRead

允許存取允許存取

55應用程式應用程式傳送傳送存取要求存取要求

22

檢查物件 檢查物件 ACL ACL 中的中的每一個 每一個 ACEsACEs

看看是否有符合的 看看是否有符合的 SIDSID

33

找到符合的 找到符合的 ACEACE ，繼，繼續找一下個續找一下個

44

6060/67/67

Secondary Logon ProcessSecondary Logon ProcessSecondary Logon ProcessSecondary Logon Process

其它關鍵程式技術介紹其它關鍵程式技術介紹其它關鍵程式技術介紹其它關鍵程式技術介紹

6262/67/67

GDI+ 包含三個部份– 2D 向量繪圖 (2D vector graphics)– 圖片 (imaging)– 印刷格式 (Typography)

新特色– Gradient Brushes (漸層 )– Cardinal Splines (曲線 )– Path ( 路徑 )– Transformations and Matrix (矩陣變換 )– Scalable Regions ( 繪圖區 )– Alpha Blending (Alpha 混色 )– Antialiasing (線條柔和化 )

GDI+

GDI+ GDI+ 繪圖繪圖

半透明視窗與非矩形視窗半透明視窗與非矩形視窗半透明視窗與非矩形視窗半透明視窗與非矩形視窗

Smart Device Smart Device 表單表單Smart Device Smart Device 表單表單

DirectXDirectXDirectXDirectX

6767/67/67

謝謝各位謝謝各位謝謝各位謝謝各位