Interação entre threads e objetos protegíveis
Quando um thread tenta usar um objeto protegível, o sistema executa um marcar de acesso antes de permitir que o thread prossiga. Em uma marcar de acesso, o sistema compara as informações de segurança no token de acesso do thread com as informações de segurança no descritor de segurança do objeto.
- O token de acesso contém SIDs ( identificadores de segurança ) que identificam o usuário associado ao thread.
- O descritor de segurança identifica o proprietário do objeto e contém uma DACL ( lista de controle de acesso discricionário ). A DACL contém ACEs (entradas de controle de acesso ), cada uma especificando os direitos de acesso permitidos ou negados a um usuário ou grupo específico.
O sistema verifica a DACL do objeto, procurando ACEs que se aplicam aos SIDs de usuário e grupo do token de acesso do thread. O sistema verifica cada ACE até que o acesso seja concedido ou negado ou até que não haja mais ACEs para marcar. Concebível, uma ACL ( lista de controle de acesso ) pode ter vários ACEs que se aplicam aos SIDs do token. E, se isso ocorrer, os direitos de acesso concedidos por cada ACE se acumularão. Por exemplo, se uma ACE conceder acesso de leitura a um grupo e outra ACE conceder acesso de gravação a um usuário que seja membro do grupo, o usuário poderá ter acesso de leitura e gravação ao objeto.
A ilustração a seguir mostra a relação entre esses blocos de informações de segurança: