Teile des Access Control-Modells
Es gibt zwei grundlegende Teile des Zugriffssteuerungsmodells:
- Zugriffstoken, die Informationen zu einem angemeldeten Benutzer enthalten
- Sicherheitsbeschreibungen, die die Sicherheitsinformationen enthalten, die ein sicherungsfähiges Objekt schützen
Wenn sich ein Benutzer anmeldet, authentifiziert das System den Kontonamen und das Kennwort des Benutzers. Wenn die Anmeldung erfolgreich ist, erstellt das System ein Zugriffstoken. Jeder Prozess , der im Auftrag dieses Benutzers ausgeführt wird, verfügt über eine Kopie dieses Zugriffstokens. Das Zugriffstoken enthält Sicherheitsbezeichner , die das Konto des Benutzers und alle Gruppenkonten identifizieren, zu denen der Benutzer gehört. Das Token enthält auch eine Liste der Berechtigungen , die vom Benutzer oder den Gruppen des Benutzers gehalten werden. Das System verwendet dieses Token, um den zugeordneten Benutzer zu identifizieren, wenn ein Prozess versucht, auf ein sicherungsfähiges Objekt zuzugreifen oder eine Systemverwaltungsaufgabe auszuführen, die Berechtigungen erfordert.
Wenn ein sicherungsfähiges Objekt erstellt wird, weist das System ihm eine Sicherheitsbeschreibung zu, die vom Ersteller angegebene Sicherheitsinformationen enthält, oder Standardsicherheitsinformationen, falls keine angegeben sind. Anwendungen können Funktionen verwenden, um die Sicherheitsinformationen für ein vorhandenes Objekt abzurufen und festzulegen.
Eine Sicherheitsbeschreibung identifiziert den Besitzer des Objekts und kann auch die folgenden Zugriffssteuerungslisten enthalten:
- Eine diskretionäre Zugriffssteuerungsliste (DACL), die die Benutzer und Gruppen identifiziert, die den Zugriff auf das Objekt zugelassen oder verweigert haben
- Eine Systemzugriffssteuerungsliste (System Access Control List , SACL), die steuert, wie das System überwacht versucht, auf das Objekt zuzugreifen.
Eine ACL enthält eine Liste der Zugriffssteuerungseinträge (Access Control Entries , ACEs). Jeder ACE gibt einen Satz von Zugriffsrechten an und enthält eine SID, die einen Treuhänder identifiziert, für den die Rechte zugelassen, verweigert oder überwacht werden. Ein Treuhänder kann ein Benutzerkonto, ein Gruppenkonto oder eine Anmeldesitzung sein.
Verwenden Sie Funktionen, um den Inhalt von Sicherheitsbeschreibungen, SIDs und ACLs zu bearbeiten, anstatt direkt darauf zuzugreifen. Dies trägt dazu bei, dass diese Strukturen syntaktisch korrekt bleiben und verhindert, dass zukünftige Verbesserungen des Sicherheitssystems vorhandenen Code durchbrechen.
Die folgenden Themen enthalten Informationen zu Teilen des Zugriffssteuerungsmodells:
- Zugriffstoken
- Sicherheitsbeschreibungen
- Zugriffssteuerungslisten
- Access Control Einträge
- Zugriffsrechte und Zugriffsmasken
- Funktionsweise von AccessCheck
- Zentralisierte Autorisierungsrichtlinie
- Sicherheitsbezeichner
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für