Konstanten der Identitätswechselebene
Gibt eine Identitätswechselebene an, die den Umfang der Autorität angibt, die dem Server beim Identitätswechsel des Clients erteilt wird.
Konstante/Wert | BESCHREIBUNG |
---|---|
|
DCOM kann die Identitätswechselebene mithilfe des normalen Aushandlungsalgorithmus für sicherheitsdeckend auswählen. Weitere Informationen finden Sie unter Sicherheitsdeckenverhandlung. |
|
Der Client ist gegenüber dem Server anonym. Der Serverprozess kann die Identität des Clients annehmen, aber das Identitätswechseltoken enthält keine Informationen und kann nicht verwendet werden. |
|
Der Server kann die Identität des Clients abrufen. Der Server kann die Identität des Clients für die ACL-Überprüfung annehmen, aber er kann nicht als Client auf Systemobjekte zugreifen. |
|
Der Serverprozess kann die Identität des Sicherheitskontexts des Clients annehmen, während er im Auftrag des Clients handelt. Diese Identitätsebene ermöglicht den Zugriff auf lokale Ressourcen wie Dateien. Beim Identitätswechsel auf dieser Ebene kann das Identitätswechseltoken nur über eine Computergrenze übergeben werden. Der Schannel-Authentifizierungsdienst unterstützt nur diese Ebene des Identitätswechsels. |
|
Der Serverprozess kann die Identität des Sicherheitskontexts des Clients annehmen, während er im Auftrag des Clients handelt. Der Serverprozess kann auch ausgehende Aufrufe an andere Server tätigen, während er im Auftrag des Clients mit Cloaking handelt. Der Server kann den Sicherheitskontext des Clients auf anderen Computern verwenden, um auf lokale und Remoteressourcen als Client zuzugreifen. Beim Identitätswechsel auf dieser Ebene kann das Identitätswechseltoken über eine beliebige Anzahl von Computergrenzen hinweg übergeben werden. |
Bemerkungen
GetUserName schlägt beim Identitätswechsel auf Identifizierungsebene fehl. Die Problemumgehung besteht darin, die Identität zu wechseln, OpenThreadToken aufzurufen, rückgängig machen, GetTokenInformation und schließlich LookupAccountSid aufzurufen. Mithilfe von CoSetProxyBlanket legt der Client die Identitätswechselebene fest.
Mithilfe von CoSetProxyBlanket legt der Client die Identitätswechselebene und die Proxyidentität fest, die verfügbar sein werden, wenn ein Server CoImpersonateClient aufruft. Die Identität, die dem Server angezeigt wird, wenn der Identitätswechsel stattfindet, wird unter Cloaking beschrieben. Beachten Sie, dass der Angerufene beim Tätigen eines Anrufs beim Identitätswechsel normalerweise das Prozesstoken des Aufrufers empfängt, nicht das Identitätswechseltoken des Aufrufers. Um das Identitätswechseltoken des Aufrufers zu erhalten, muss der Aufrufer das Cloaking aktivieren.
Anforderungen
Anforderung | Wert |
---|---|
Unterstützte Mindestversion (Client) |
Windows 2000 Professional [nur Desktop-Apps] |
Unterstützte Mindestversion (Server) |
Windows 2000 Server [nur Desktop-Apps] |
Header |
|