訪問控制模型的部分

存取控制模型有兩個基本部分：

• 存取令牌，其中包含登入使用者的相關信息
• 安全性描述元，其中包含保護 安全性實體對象的安全性資訊

當使用者登入時，系統會 用戶帳戶名稱和密碼進行驗證。 如果登入成功，系統會建立存取令牌。 代表此使用者執行的每個 進程 都會有此存取令牌的複本。 存取令牌包含 安全性識別碼，可識別使用者帳戶和使用者所屬的任何組帳戶。 令牌也包含使用者或使用者群組所持有 許可權的清單。 當進程嘗試存取安全性實體物件或執行需要許可權的系統管理工作時，系統會使用此令牌來識別相關聯的使用者。

建立安全性實體物件時，系統會將 安全性描述元指派給，其中包含其建立者所指定的安全性資訊，如果未指定安全性資訊，則為預設安全性資訊。 應用程式可以使用函式來擷取和設定現有物件的安全性資訊。

安全性描述項會識別物件的擁有者，也可以包含下列 訪問控制清單：

• 選擇性訪問控制清單（DACL），可識別允許或拒絕存取對象的使用者和群組
• 系統存取控制清單 （SACL） 控制系統 稽核的方式， 嘗試存取物件

ACL 包含 存取控制專案清單 （ACE）。 每個 ACE 都會指定一組 訪問許可權，並包含一個 SID，識別 信任者 其許可權被允許、拒絕或稽核。 信任者可以是使用者帳戶、群組帳戶或 登入工作階段。

使用函式來作安全性描述元、SID 和 ACL 的內容，而不是直接存取它們。 這有助於確保這些結構保持語法正確，並防止安全性系統的未來增強功能中斷現有的程序代碼。

下列主題提供存取控制模型部分的相關信息：

• 存取令牌
• 安全性描述元
• 存取控制清單
• 訪問控制專案
• 訪問許可權和存取遮罩
• AccessCheck 的運作方式
• 集中式授權原則
• 安全性標識碼