Položka řízení přístupu

Položka řízení přístupu (ACE) popisuje přístupová práva přidružená k určitému identifikátoru zabezpečení (SID). Operační systém vyhodnocuje ACL pro výpočet efektivního přístupu uděleného konkrétnímu programu na základě jeho přihlašovacích údajů. Například když se uživatel přihlásí k počítači a pak spustí program, program použije přihlašovací údaje přidružené k účtu daného uživatele.

Když se program pokusí otevřít objekt, systém Windows porovná přihlašovací údaje přidružené k programu proti ovládacím prvkům zabezpečení přidruženým k objektu. Referenční monitor zabezpečení pak využívá informace ACE k určení, zda programu povolit nebo zakázat přístup k danému objektu. Je to ACE, která určuje chování subsystému zabezpečení.

Následující obrázek znázorňuje položku řízení přístupu.

Subsystém zabezpečení používá několik typů ACES, včetně následujících typů. Člen typu struktury ACE ovládá interpretaci ACE. Definované typy:

• ACCESS_ALLOWED_ACE_TYPE– tento typ označuje, že ACE určuje přístupová práva udělená konkrétnímu identifikátoru SID.

• ACCESS_DENIED_ACE_TYPE označuje, že ACE určuje přístupová práva, která mají být odepřena konkrétnímu identifikátoru SID.

• SYSTEM_AUDIT_ACE_TYPE označuje, že ACE určuje auditní chování.

• SYSTEM_ALARM_ACE_TYPE označuje, že ACE určuje chování alarmu.

• ACCESS_ALLOWED_COMPOUND_ACE_TYPE označuje, že ACE je svázán s konkrétním serverem a entitou, kterou ztělesňuje.

Typy ACCESS_XXX slouží k řízení programového přístupu k objektu. Typy SYSTEM_XXX slouží k řízení chování subsystému zabezpečení při přístupu k objektu auditování a alarmu. Skutečné chování subsystému zabezpečení se vypočítá spojením informací pro některé nebo všechny moduly ACL přidružené k objektu.

Ovladač může sestavit ACE ACCESS_ALLOWED_ACE_TYPE pomocí rutiny RtlAddAccessAllowedAce. Chcete-li přidat další typy položek ACE, musí vývojáři ovladačů vytvořit své vlastní funkce, protože WDK neposkytuje jiné rutiny podpory.