共用方式為


執行緒與安全性實體物件之間的互動

當執行緒嘗試使用 安全性實體物件時,系統會先執行存取檢查,再允許執行緒繼續進行。 在存取檢查中,系統會比較執行緒 存取權杖 中的安全性資訊與物件 之安全性描述元中的安全性資訊。

  • 存取權杖包含 安全性識別碼 (SID) ,可識別與執行緒相關聯的使用者。
  • 安全性描述項會識別物件的擁有者,並包含 DACL) (任意存取控制清單 。 DACL 包含 存取控制專案 (ACE) ,每個專案都會指定特定使用者或群組允許或拒絕的存取權限。

系統會檢查物件的 DACL,尋找從執行緒存取權杖套用至使用者和群組 SID 的 ACE。 系統會檢查每個 ACE,直到被授與或拒絕存取,或直到沒有其他 ACE 進行檢查為止。 可想而知,ACL) (存取控制清單 可能有數個 ACL 適用于權杖的 SID。 而且,如果發生這種情況,則每個 ACE 所授與的存取權限都會累積。 例如,如果某個 ACE 授與群組的讀取權限,而另一個 ACE 會將寫入權限授與屬於群組成員的使用者,則使用者可以同時擁有物件的讀取和寫入權限。

下圖顯示這些安全性資訊區塊之間的關聯性:

進程、aces 和 dacls 之間的關聯性