Delen via

Onderdelen van het toegangsbeheermodel

  • Artikel

Er zijn twee basisonderdelen van het toegangsbeheermodel:

Wanneer een gebruiker zich aanmeldt, verifieert het systeem de accountnaam en het wachtwoord van de gebruiker. Als de aanmelding is geslaagd, maakt het systeem een toegangstoken. Elk proces uitgevoerd namens deze gebruiker heeft een kopie van dit toegangstoken. Het toegangstoken bevat beveiligings-id's waarmee het account van de gebruiker en eventuele groepsaccounts waartoe de gebruiker behoort, worden geïdentificeerd. Het token bevat ook een lijst met de bevoegdheden die worden bewaard door de gebruiker of de gebruikersgroepen. Het systeem gebruikt dit token om de bijbehorende gebruiker te identificeren wanneer een proces probeert toegang te krijgen tot een beveiligbaar object of een systeembeheertaak uitvoert waarvoor bevoegdheden zijn vereist.

Wanneer een beveiligbaar object wordt gemaakt, wijst het systeem het toe aan een beveiligingsdescriptor die beveiligingsgegevens bevat die zijn opgegeven door de maker of standaardbeveiligingsgegevens als er geen is opgegeven. Toepassingen kunnen functies gebruiken om de beveiligingsgegevens voor een bestaand object op te halen en in te stellen.

Een beveiligingsdescriptor identificeert de eigenaar van het object en kan ook de volgende toegangsbeheerlijstenbevatten:

Een ACL bevat een lijst met toegangsbeheervermeldingen (ACL's). Elke ACE geeft een set toegangsrechten en bevat een SID die een beheerder identificeert voor wie de rechten zijn toegestaan, geweigerd of gecontroleerd. Een beheerder kan een gebruikersaccount, groepsaccount of aanmeldingssessiezijn.

Gebruik functies om de inhoud van beveiligingsdescriptors, SID's en ACL's te manipuleren in plaats van ze rechtstreeks te openen. Dit helpt ervoor te zorgen dat deze structuren syntactisch nauwkeurig blijven en voorkomt dat toekomstige verbeteringen in het beveiligingssysteem bestaande code breken.

De volgende onderwerpen bevatten informatie over onderdelen van het toegangsbeheermodel: