Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När en tråd försöker komma åt ett skyddsbart objekt beviljar eller nekar systemet åtkomst. Om objektet inte har en DACL ger systemet åtkomst; annars letar systemet efter ACE-er i objektets DACL som är relevanta för tråden. Varje ACE i objektets DACL anger de åtkomsträttigheter som tillåts eller nekas för en förvaltare, som kan vara ett användarkonto, ett gruppkonto eller en inloggningssession.
DACLs
Systemet jämför förvaltaren i varje ACE med de förvaltare som identifieras i trådens åtkomsttoken. En åtkomsttoken innehåller säkerhetsidentifierare (SID) som identifierar användaren och de gruppkonton som användaren tillhör. En token innehåller också en inloggnings-SID som identifierar den aktuella inloggningssessionen. Under en åtkomstkontroll ignorerar systemet grupp-SID:er som inte är aktiverade. Mer information om aktiverade, inaktiverade och nekande-SID:er finns i SID-attribut i en åtkomsttoken.
Vanligtvis använder systemet den primära åtkomsttoken för tråden som begär åtkomst. Men om tråden personifierar en annan användare använder systemet trådens personifieringstoken.
Systemet undersöker varje ACE i följd tills någon av följande händelser inträffar:
- Ett åtkomst nekat ACE nekar uttryckligen någon av de begärda åtkomsträttigheter till en av de förvaltare som anges i trådens åtkomsttoken.
- En eller flera åtkomsttillåtande ACE:er för huvudmän listade i trådens åtkomsttoken beviljar uttryckligen alla begärda åtkomsträttigheter.
- Alla åtkomstkontrollistor har kontrollerats och det finns fortfarande minst en begärd åtkomsträtt som inte uttryckligen har tillåtits, vilket innebär att åtkomst nekas indirekt.
Följande bild visar hur ett objekts DACL kan tillåta åtkomst till en tråd samtidigt som åtkomst till en annan nekas.
För Tråd A läser systemet ACE 1 och nekar omedelbart åtkomst eftersom åtkomst nekad ACE gäller för användaren i trådens åtkomsttoken. I det här fallet kontrollerar systemet inte ACL:er 2 och 3. För Tråd B gäller inte ACE 1, så systemet fortsätter till ACE 2, som tillåter skrivåtkomst, och ACE 3, som tillåter läs- och köråtkomst.
Eftersom systemet slutar kontrollera ACL:er när den begärda åtkomsten uttryckligen beviljas eller nekas är ordningen på ACL:er i en DACL viktig. Observera att om ACE-ordningen var annorlunda i exemplet kan systemet ha beviljat åtkomst till tråd A. För systemobjekt definierar operativsystemet en önskad ordning av ACL:er i en DACL-.