Personifiering
Personifiering är möjligheten för en tråd att köras i en säkerhetskontext som skiljer sig från kontexten för den process som äger tråden. När den körs i klientens säkerhetskontext är servern i viss mån klienten. Servertråden använder en åtkomsttoken som representerar klientens autentiseringsuppgifter för att få åtkomst till de objekt som klienten har åtkomst till.
Den främsta orsaken till personifiering är att göra att åtkomstkontroller utförs mot klientens identitet. Om klientens identitet används för åtkomstkontroller kan åtkomsten antingen begränsas eller utökas, beroende på vad klienten har behörighet att göra. Anta till exempel att en filserver har filer som innehåller konfidentiell information och att var och en av dessa filer skyddas av en ACL. För att förhindra att en klient får obehörig åtkomst till information i dessa filer kan servern personifiera klienten innan den får åtkomst till filerna.
Åtkomsttoken för personifiering
Åtkomsttoken är objekt som beskriver säkerhetskontexten för en process eller tråd. De innehåller information som innehåller identiteten för ett användarkonto och en delmängd av de behörigheter som är tillgängliga för användarkontot. Varje process har en primär åtkomsttoken som beskriver säkerhetskontexten för användarkontot som är associerat med processen. Som standard använder systemet den primära token när en tråd i processen interagerar med ett skyddsbart objekt. Men när en tråd personifierar en klient har personifieringstråden både en primär åtkomsttoken och en personifieringstoken. Personifieringstoken representerar klientens säkerhetskontext och den här åtkomsttoken är den som används för åtkomstkontroller under personifiering. När personifieringen är över återgår tråden till att endast använda den primära åtkomsttoken.
Du kan använda funktionen OpenProcessToken för att hämta ett handtag till den primära token för en process. Använd funktionen OpenThreadToken för att få ett handtag till personifieringstoken för en tråd.
Relaterade ämnen