Clientsicherheitskontext

Wie alle Prozesseverfügt ein geschützter Server über ein primäres Zugriffstoken, das seinen Sicherheitskontextbeschreibt. Wenn ein Client eine Verbindung mit einem geschützten Server herstellt, möchte der Server möglicherweise Aktionen mithilfe des Sicherheitskontexts des Clients anstelle des Sicherheitskontexts des Servers ausführen. Wenn beispielsweise ein Client in einer DDE-Unterhaltung (Dynamic Data Exchange) Informationen von einem DDE-Server anfordert, muss der Server überprüfen, ob der Client auf die Informationen zugreifen darf.

Es gibt zwei Möglichkeiten, wie ein Server im Sicherheitskontext des Clients handeln kann:

• Ein Thread des Serverprozesses kann den Client imitieren. In diesem Fall verfügt der Thread des Servers über einen Identitätswechsel Zugriffstokens, das den Client, die Gruppen des Clients und die Berechtigungen des Clientsidentifiziert. Weitere Informationen finden Sie unter Clientidentitätswechsel.
• Der Server kann die Anmeldeinformationen des Clients abrufen und den Client auf dem Computer des Servers anmelden. Dadurch wird eine neue Anmeldung Sitzung erstellt und ein primäres Zugriffstoken für den Client erzeugt. Der Server kann dann das Zugriffstoken des Clients verwenden, um die Identität des Clients zu imitieren oder einen neuen Prozess zu starten, der im Sicherheitskontext des Clients ausgeführt wird. Weitere Informationen finden Sie unter Clientanmeldungssitzungen.

In den meisten Fällen reicht der Identitätswechsel des Clients aus. Der Identitätswechsel ermöglicht es dem Server, den Zugriff des Clients auf sicherungsfähige Objekte zu überprüfen, die Berechtigungen des Clients zu überprüfen und Überwachungspfadeinträge zu generieren, die den Client identifizieren. Normalerweise muss ein Server eine Clientanmeldungssitzung nur starten, wenn er den Sicherheitskontext des Clients für den Zugriff auf Netzwerkressourcen verwenden muss.