Взаимодействие между потоками и защищаемыми объектами
Когда поток пытается использовать защищаемый объект, система выполняет проверка доступа, прежде чем разрешить потоку продолжить. В проверка доступа система сравнивает сведения о безопасности в маркере доступа потока со сведениями о безопасности в дескрипторове безопасности объекта.
- Маркер доступа содержит идентификаторы безопасности (SID), которые идентифицируют пользователя, связанного с потоком.
- Дескриптор безопасности идентифицирует владельца объекта и содержит список управления доступом на уровне пользователей (DACL). DaCL содержит записи управления доступом (ACE), каждая из которых указывает права доступа, разрешенные или запрещенные для определенного пользователя или группы.
Система проверяет DACL объекта и ищет ACE, которые применяются к идентификаторам безопасности пользователя и группы из маркера доступа потока. Система проверяет каждый элемент управления доступом до предоставления или отказа в доступе или до тех пор, пока не будет больше нет ACE для проверка. Возможно, список управления доступом (ACL) может содержать несколько ACE, которые применяются к идентификаторам безопасности маркера. И в этом случае накапливаются права доступа, предоставляемые каждым ACE. Например, если один ACE предоставляет группе доступ на чтение, а другой ACE предоставляет доступ на запись пользователю, который является членом группы, пользователь может иметь доступ на чтение и запись к объекту.
На следующем рисунке показана связь между этими блоками сведений о безопасности:
