執行緒與安全性實體物件之間的互動

當執行緒嘗試使用 安全性實體物件時，系統會先執行存取檢查，再允許執行緒繼續進行。 在存取檢查中，系統會比較執行緒 存取權杖 中的安全性資訊與物件 之安全性描述元中的安全性資訊。

• 存取權杖包含 安全性識別碼 (SID) ，可識別與執行緒相關聯的使用者。
• 安全性描述項會識別物件的擁有者，並包含 DACL) (任意存取控制清單 。 DACL 包含 存取控制專案 (ACE) ，每個專案都會指定特定使用者或群組允許或拒絕的存取權限。

系統會檢查物件的 DACL，尋找從執行緒存取權杖套用至使用者和群組 SID 的 ACE。 系統會檢查每個 ACE，直到被授與或拒絕存取，或直到沒有其他 ACE 進行檢查為止。 可想而知，ACL) (存取控制清單 可能有數個 ACL 適用于權杖的 SID。 而且，如果發生這種情況，則每個 ACE 所授與的存取權限都會累積。 例如，如果某個 ACE 授與群組的讀取權限，而另一個 ACE 會將寫入權限授與屬於群組成員的使用者，則使用者可以同時擁有物件的讀取和寫入權限。

下圖顯示這些安全性資訊區塊之間的關聯性：