Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Gdy wątek próbuje użyć zabezpieczanego obiektu, system wykonuje kontrolę dostępu przed zezwoleniem wątkowi na kontynuowanie. W czeku dostępu system porównuje informacje o zabezpieczeniach w tokenu dostępu wątku względem informacji zabezpieczających w deskryptorze zabezpieczeń obiektu.
- Token dostępu zawiera identyfikatory zabezpieczeń (SID), które identyfikują użytkownika skojarzonego z wątkiem.
- Deskryptor zabezpieczeń identyfikuje właściciela obiektu i zawiera uznaniową listę kontroli dostępu (DACL). Lista DACL zawiera wpisy kontroli dostępu (ACL), z których każdy określa prawa dostępu dozwolone lub odrzucone dla określonego użytkownika lub grupy.
System sprawdza listę DACL obiektu, wyszukując identyfikatory ACL, które mają zastosowanie do identyfikatorów SID użytkownika i grupy z tokenu dostępu wątku. System sprawdza każdą ACE, dopóki dostęp nie zostanie udzielony lub odrzucony lub dopóki nie ma więcej kontroli dostępu. Prawdopodobnie listy kontroli dostępu (ACL) może mieć kilka ACL, które mają zastosowanie do identyfikatorów SID tokenu. A jeśli tak się dzieje, prawa dostępu przyznane przez każdą ACE gromadzą się. Jeśli na przykład jedna usługa ACE udziela dostępu do odczytu grupie, a inna usługa ACE udziela dostępu do zapisu użytkownikowi, który jest członkiem grupy, użytkownik może mieć zarówno dostęp do odczytu, jak i zapisu do obiektu.
Poniższa ilustracja przedstawia relację między tymi blokami informacji zabezpieczających:
