Grafik nicht, aber ich hoffe, ich kann es kurz mal beschreiben. Ich arbeite übrigens gerade an einem etwas längerem Artikel zu diesem Thema.
Die übergeordnete Einheit ist die WindowsStation. Eine WindowsStation beinhaltet die Desktops. Eine besondere Rolle nimmt die WindowsStation WinSta0 ein, da sie die einzige interaktive WindowsStation im System ist, die mit dem Benutzer interagieren kann. Sie beinhaltet mindesttens zwei Desktops: einmal den default Desktop des Benutzers und den WinLogon Desktop des WinLogon Prozesses. Diesen Desktop sieht man, wenn man Strg+Alt+Entf drück, wenn man eingeloggt ist.
Eine Logon Session repräsentiert eine Instanz eines speziellen Benutzers.
Fügen wir das ganze mal an einem Beispiel zusammen:
Die Firma ist die WindowsStation, eine Abteilung ist eine Ressource des Computers und die LogonSession wäre der Firmenausweis. Nehmen wir an wir sind als Gast in einer Firma mit sicherheitsrelevanten Abteilungen. Wir kommen also an Firmentor (Anmeldedialog) und weisen usn beim Pförtner aus (benutzername und Passwort). Der Pförtner gibt uns einen Firmenausweis, der uns dazu berechtigt bestimmte Abteilungen der Firma zu betreten (Nutzung von Ressourcen des Computers). Wollen wir nun eine Abteilung betreten, wird unser Firmenausweis kontrolliert und uns wird Zutritt gewährt oder nicht. Gäbe es dieses System nicht, müssten wir jedesmal, wenn wir eine Ressource´nutzen wollten, uns gegenüber dem System authentifizieren - und arbeiten wäre wohl nahe zu unmöglich.
Soweit das ganze mal in Kürze, ich hoffe, es war einigermassen verständlich.
Im Anhang noch mal ein kleines Programm, was das ganze etwas visualisiert: Die WinSta0 wurde von dem Bneutzer mit der SID S-1-5-5-X-Y erzeugt. Dies ist eine System LogonSession. Aus dem
PSDK:
Zitat:
SECURITY_LOGON_IDS_RID
(S-1-5-5-X-Y)
A logon session. This is used to ensure that only processes in a given logon session can gain
access to the window-station objects for that session. The X and Y values for these SIDs are different for each logon session.
Interessant ist noch die WindowsStation "Service-0x0-3e7$" (999 in dezimaler Schreibweise
). Dies ist die WindowsStation des Systemkontos. Diese Bezeichnung ist übrigens hard gecodet, da es immer nur eine geben kann. Die System Logon Session beinhaltet alle User mode Prozesses, die zur TBC (Trusted Computer Base) gehören, wie das Local Security Authority Subsystem (LSASS.EXE), den Logon Prozess (WINLOGON.EXE) und das
Win32- SubSystem (CSRSS.EXE).