存取控制模型的元件

存取控制模型有兩個基本部分：

• 存取權杖，其中包含登入使用者的相關資訊
• 安全性描述項，其中包含保護安全性實體物件的安全性資訊

當使用者登入時，系統會 驗證 使用者的帳戶名稱和密碼。 如果登入成功，系統會建立存取權杖。 代表此使用者執行的每個 進程 都會有此存取權杖的複本。 存取權杖包含 安全性識別碼 ，可識別使用者的帳戶和使用者所屬的任何群群組帳戶。 權杖也包含使用者或使用者群組所持有 的許可權 清單。 當進程嘗試存取安全性物件或執行需要許可權的系統管理工作時，系統會使用此權杖來識別相關聯的使用者。

建立安全性實體物件時，系統會指派安全性 描述元 ，其中包含其建立者所指定的安全性資訊，如果未指定安全性資訊，則為預設安全性資訊。 應用程式可以使用函式來擷取及設定現有物件的安全性資訊。

安全性描述元會識別物件的擁有者，也可以包含下列 存取控制清單：

• 可識別允許或拒絕存取物件的使用者和群組的 任意存取控制清單 (DACL)
• 系統存取控制清單 (SACL) ，可控制系統稽核嘗試存取物件的方式

ACL 包含 存取控制專案 清單， (ACE) 。 每個 ACE 都會指定一組存取權限，並包含 SID，識別允許、拒絕或稽核許可權的信任者。 信任者可以是使用者帳戶、群群組帳戶或 登入會話。

使用函式來操作安全性描述項、SID 和 ACL 的內容，而不是直接存取它們。 這有助於確保這些結構保持語法正確，並防止安全性系統的未來增強功能中斷現有的程式碼。

下列主題提供存取控制模型部分的相關資訊：

• 存取權杖
• 安全性描述項
• 存取控制清單
• 存取控制專案
• 存取權限和存取遮罩
• AccessCheck 的運作方式
• 集中式授權原則
• 安全性識別碼