Поделиться через

Части модели управления доступом

  • Статья

Существует две основные части модели управления доступом:

При входе пользователя система выполняет проверку подлинности имени учетной записи пользователя и пароля. Если вход выполнен успешно, система создает маркер доступа. Каждый процесс , выполненный от имени этого пользователя, будет иметь копию этого маркера доступа. Маркер доступа содержит идентификаторы безопасности, которые определяют учетную запись пользователя и все учетные записи группы, к которым принадлежит пользователь. Маркер также содержит список привилегий , удерживаемых пользователем или группами пользователей. Система использует этот маркер для идентификации связанного пользователя, когда процесс пытается получить доступ к защищаемому объекту или выполнить задачу администрирования системы, требующую привилегий.

При создании защищаемого объекта система назначает ему дескриптор безопасности, содержащий сведения о безопасности, указанные его создателем, или сведения о безопасности по умолчанию, если он не указан. Приложения могут использовать функции для получения и задания сведений о безопасности для существующего объекта.

Дескриптор безопасности определяет владельца объекта, а также может содержать следующие списки управления доступом:

ACL содержит список записей управления доступом (ACEs). Каждый ACE задает набор прав доступа и содержит идентификатор БЕЗОПАСНОСТИ, определяющий доверенных лиц, которых права разрешены, запрещены или проверены. Доверенное лицо может быть учетной записью пользователя, учетной записью группы или сеансом входа в систему.

Используйте функции для управления содержимым дескрипторов безопасности, siD и списков управления доступом, а не напрямую к ним. Это помогает гарантировать, что эти структуры остаются синтаксически точными и предотвращают будущие улучшения системы безопасности от нарушения существующего кода.

В следующих разделах содержатся сведения о частях модели управления доступом: