Teile des Access Control-Modells

Es gibt zwei grundlegende Teile des Zugriffssteuerungsmodells:

Wenn sich ein Benutzer anmeldet, authentifiziert das System den Kontonamen und das Kennwort des Benutzers. Wenn die Anmeldung erfolgreich ist, erstellt das System ein Zugriffstoken. Jeder Prozess, der im Namen dieses Benutzers ausgeführt wird, verfügt über eine Kopie dieses Zugriffstokens. Das Zugriffstoken enthält Sicherheits-IDs, die das Konto des Benutzers und alle Gruppenkonten identifizieren, zu denen der Benutzer gehört. Das Token enthält auch eine Liste der Berechtigungen, die der Benutzer oder die Gruppen des Benutzers besitzen. Das System verwendet dieses Token, um den zugeordneten Benutzer zu identifizieren, wenn ein Prozess versucht, auf ein sicherungsfähiges Objekt zuzugreifen oder eine Systemverwaltungsaufgabe auszuführen, die Berechtigungen erfordert.

Wenn ein sicherungsfähiges Objekt erstellt wird, weist das System ihm einen Sicherheitsdeskriptor zu, der die vom Ersteller angegebenen Sicherheitsinformationen enthält, oder standardmäßige Sicherheitsinformationen, wenn keine angegeben ist. Anwendungen können Funktionen verwenden, um die Sicherheitsinformationen für ein vorhandenes Objekt abzurufen und festzulegen.

Ein Sicherheitsdeskriptor identifiziert den Besitzer des Objekts und kann auch die folgenden Zugriffssteuerungslistenenthalten:

Eine Zugriffssteuerungsliste enthält eine Liste von Zugriffssteuerungseinträgen (ACEs). Jeder ACE gibt einen Satz von Zugriffsrechten an und enthält eine SID, die einen Vertrauensnehmer identifiziert, für den die Rechte zugelassen, verweigert oder überwacht werden. Ein Vertrauensnehmer kann ein Benutzerkonto, ein Gruppenkonto oder eine Anmeldesitzungsein.

Verwenden Sie Funktionen, um den Inhalt von Sicherheitsbeschreibungen, SIDs und ACLs zu bearbeiten, anstatt direkt darauf zuzugreifen. Dadurch wird sichergestellt, dass diese Strukturen syntaktisch genau bleiben, und verhindert, dass zukünftige Verbesserungen des Sicherheitssystems vorhandenen Code brechen.

Die folgenden Themen enthalten Informationen zu Teilen des Zugriffssteuerungsmodells: