存取控制模型的元件
存取控制模型有兩個基本部分:
當使用者登入時,系統會 驗證 使用者的帳戶名稱和密碼。 如果登入成功,系統會建立存取權杖。 代表此使用者執行的每個 進程 都會有此存取權杖的複本。 存取權杖包含 安全性識別碼 ,可識別使用者的帳戶和使用者所屬的任何群群組帳戶。 權杖也包含使用者或使用者群組所持有 的許可權 清單。 當進程嘗試存取安全性物件或執行需要許可權的系統管理工作時,系統會使用此權杖來識別相關聯的使用者。
建立安全性實體物件時,系統會指派安全性 描述元 ,其中包含其建立者所指定的安全性資訊,如果未指定安全性資訊,則為預設安全性資訊。 應用程式可以使用函式來擷取及設定現有物件的安全性資訊。
安全性描述元會識別物件的擁有者,也可以包含下列 存取控制清單:
ACL 包含 存取控制專案 清單, (ACE) 。 每個 ACE 都會指定一組存取權限,並包含 SID,識別允許、拒絕或稽核許可權的信任者。 信任者可以是使用者帳戶、群群組帳戶或 登入會話。
使用函式來操作安全性描述項、SID 和 ACL 的內容,而不是直接存取它們。 這有助於確保這些結構保持語法正確,並防止安全性系統的未來增強功能中斷現有的程式碼。
下列主題提供存取控制模型部分的相關資訊: