次の方法で共有

アクセス制御モデルの一部

  • [アーティクル]

アクセス制御モデルには、次の 2 つの基本的な部分があります。

ユーザーがログオンすると、システム はユーザーのアカウント名とパスワード 認証します。 ログオンが成功した場合、システムはアクセス トークンを作成します。 このユーザーの代わりに実行すべてのプロセスには、このアクセス トークンのコピーが含まれます。 アクセス トークンには、ユーザーのアカウントとユーザーが属するすべてのグループ アカウントを識別する セキュリティ識別子が含まれています。 トークンには、ユーザーまたはユーザーのグループによって保持 特権の一覧も含まれます。 システムは、このトークンを使用して、プロセスがセキュリティ保護可能なオブジェクトにアクセスしようとしたり、特権を必要とするシステム管理タスクを実行しようとしたりするときに、関連付けられているユーザーを識別します。

セキュリティ保護可能なオブジェクトが作成されると、作成者によって指定されたセキュリティ情報を含む セキュリティ記述子 が割り当てられます。指定されていない場合は既定のセキュリティ情報が割り当てられます。 アプリケーションでは、関数を使用して、既存のオブジェクトのセキュリティ情報を取得および設定できます。

セキュリティ記述子は、オブジェクトの所有者を識別し、次の アクセス制御リスト含めることもできます。

ACL には、アクセス制御エントリ (ACE) の一覧が含まれています。 各 ACE は、アクセス権 のセットを指定し、権限が許可、拒否、または監査される トラスティ を識別する SID を含みます。 トラスティには、ユーザー アカウント、グループ アカウント、またはログオン セッションできます。

関数を使用して、セキュリティ記述子、SID、ACL の内容を直接アクセスするのではなく操作します。 これにより、これらの構造を構文的に正確に保ち、セキュリティ システムの将来の機能強化が既存のコードを壊すのを防ぐことができます。

次のトピックでは、アクセス制御モデルの一部について説明します。