基于 ACL 的访问控制

正如系统使用 安全描述符 来控制对安全对象的访问一样，服务器可以使用安全描述符来控制对其私有对象的访问。 有关 Windows 安全模型的详细信息，请参阅访问控制模型。

受保护的服务器可以使用 DACL 创建安全描述符 ，该描述符指定各种 受信者允许的访问类型。 在简单情况下，服务器可以创建单个安全描述符来控制 对服务器所有数据和功能的访问。 为了更精细地进行保护，服务器可以为其每个私有对象或不同类型的功能创建安全描述符。

例如，当客户端要求服务器在数据库中创建新对象时，服务器可以为新的私有对象创建安全描述符。 然后，服务器可以将安全描述符与私有对象一起存储在数据库中。 当客户端尝试访问对象时，服务器会检索安全描述符以检查客户端的访问权限。 请务必注意，安全描述符中没有任何内容可将其与其保护的对象或功能相关联。 相反，由受保护的服务器来维护关联。

还可以审核对私有对象的访问。 有关此内容的说明，请参阅 审核对私有对象的访问 。