Поделиться через

Части модели контроль доступа

  • Статья

Существует две основные части модели управления доступом:

Когда пользователь входит в систему, система проверяет подлинность имени и пароля учетной записи пользователя. Если вход выполнен успешно, система создает маркер доступа. Каждый процесс , выполняемый от имени этого пользователя, будет иметь копию этого маркера доступа. Маркер доступа содержит идентификаторы безопасности , которые идентифицируют учетную запись пользователя и все учетные записи групп, к которым принадлежит пользователь. Маркер также содержит список привилегий , которыми пользовались пользователи или группы пользователей. Система использует этот маркер для идентификации связанного пользователя, когда процесс пытается получить доступ к защищаемому объекту или выполнить задачу системного администрирования, для которой требуются привилегии.

При создании защищаемого объекта система назначает ему дескриптор безопасности , содержащий сведения о безопасности, указанные его создателем, или сведения о безопасности по умолчанию, если они не указаны. Приложения могут использовать функции для получения и задания сведений о безопасности для существующего объекта.

Дескриптор безопасности идентифицирует владельца объекта и может содержать следующие списки управления доступом:

ACL содержит список записей управления доступом (ACE). Каждый ACE указывает набор прав доступа и содержит идентификатор безопасности, который определяет доверенного лица , для которого права разрешены, запрещены или проверены. Доверенным лицом может быть учетная запись пользователя, учетная запись группы или сеанс входа.

Используйте функции для управления содержимым дескрипторов безопасности, идентификаторов безопасности и списков управления доступом, а не для доступа к ним напрямую. Это помогает обеспечить синтаксическую точность этих структур и предотвратить нарушение существующего кода в будущих улучшениях системы безопасности.

В следующих разделах содержатся сведения о частях модели управления доступом.