Contexte de sécurité du client

Comme tous les processus, un serveur protégé a un jeton d’accès principal qui décrit son contexte de sécurité. Lorsqu’un client se connecte à un serveur protégé, le serveur peut vouloir effectuer des actions à l’aide du contexte de sécurité du client au lieu du contexte de sécurité du serveur. Par exemple, lorsqu’un client dans une conversation DDE (Dynamic Data Exchange) demande des informations à partir d’un serveur DDE, le serveur doit vérifier que le client est autorisé à accéder aux informations.

Un serveur peut agir dans le contexte de sécurité du client de deux manières :

  • Un thread du processus serveur peut emprunter l’identité du client. Dans ce cas, le thread du serveur a un jeton d’accès d’emprunt d’identité qui identifie le client, les groupes du client et les privilègesdu client. Pour plus d’informations, consultez emprunt d’identité du client.
  • Le serveur peut récupérer les informations d’identification du client et enregistrer le client sur l’ordinateur du serveur. Cela crée une nouvelle session de connexion et produit un jeton d’accès principal pour le client. Le serveur peut ensuite utiliser le jeton d’accès du client pour emprunter l’identité du client ou démarrer un nouveau processus qui s’exécute dans le contexte de sécurité du client. Pour plus d’informations, consultez sessions d’ouverture de session client.

Dans la plupart des cas, l’emprunt d’identité du client est suffisant. L’emprunt d’identité permet au serveur de vérifier l’accès du client aux objets sécurisables, de vérifier les privilèges du client et de générer des entrées de piste d’audit qui identifient le client. En règle générale, un serveur doit démarrer une session de connexion client uniquement s’il doit utiliser le contexte de sécurité du client pour accéder aux ressources réseau.