Server-Side Anforderungen für den Identitätswechsel
Der Server führt den Identitätswechsel programmgesteuert aus. Es wird explizit davon ausgegangen, dass die Sicherheitsanmeldeinformationen des Clients mithilfe von CoImpersonateClient verwendet werden. Wenn der Client dem Server ausreichende Autorität erteilt hat, hat dies den Effekt, dass anstelle des Prozesstokens die Sicherheitsanmeldeinformationen des Clients durch das Serverthreadtoken ersetzt werden.
Wenn dies geschehen ist, kann der Server beispielsweise das Clienttoken verwenden, um auf Ressourcen zuzugreifen, die mit einer Sicherheitsbeschreibung geschützt sind. Oder es kann Aufrufe unter der Clientidentität tätigen, wenn das Cloaking aktiviert ist.
Der Server kann das Klonen explizit programmgesteuert festlegen, oder er kann sich auf eine administrative Einstellung verlassen. Standardmäßig sind COM+-Anwendungen so konfiguriert, dass sie dynamisches Cloaking verwenden. Weitere Informationen finden Sie unter Cloaking.
Wenn der Server die Delegierung im Namen des Clients implementiert – mithilfe der Clientidentität über das Netzwerk –, muss die Serverprozessidentität im Active Directory-Dienst als "Vertrauenswürdig für die Delegierung" gekennzeichnet werden. Andernfalls schlägt die Delegierung fehl.
Wenn die Verwendung der Clientidentität abgeschlossen ist, kann der Server mithilfe von CoRevertToSelf zu einem eigenen Prozesstoken rückgängig machen.
Ausführliche Informationen zum Implementieren des Identitätswechsels und der Delegierung finden Sie unter Delegierung und Identitätswechsel.
Zugehörige Themen