Freigeben über

Interaktion zwischen Threads und sicherungsfähigen Objekten

  • Artikel

Wenn ein Thread versucht, ein sicherungsfähiges Objektzu verwenden, führt das System eine Zugriffsüberprüfung durch, bevor der Thread fortgesetzt werden kann. In einer Zugriffsüberprüfung vergleicht das System die Sicherheitsinformationen im Zugriffstoken des Threads mit den Sicherheitsinformationen im Sicherheitsdeskriptor des Objekts.

  • Das Zugriffstoken enthält Sicherheits-IDs (SIDs), die den dem Thread zugeordneten Benutzer identifizieren.
  • Der Sicherheitsdeskriptor identifiziert den Besitzer des Objekts und enthält eine diskretionäre Zugriffssteuerungsliste (DACL). Die DACL enthält Zugriffssteuerungseinträge (ACEs), die jeweils die Für einen bestimmten Benutzer oder eine bestimmte Gruppe zulässigen oder verweigerten Zugriffsrechte angeben.

Das System überprüft die DACL des Objekts und sucht nach ACEs, die für den Benutzer und die Gruppen-SIDs aus dem Zugriffstoken des Threads gelten. Das System überprüft jede ACE, bis der Zugriff gewährt oder verweigert wird oder bis keine ACEs mehr überprüft werden. Denkbar wäre, dass eine Zugriffssteuerungsliste (ACL) mehrere ACEs haben könnte, die für die SIDs des Tokens gelten. Und wenn dies der Fall ist, sammeln sich die Von jedem ACE gewährten Zugriffsrechte. Wenn eine ACE beispielsweise Lesezugriff auf eine Gruppe gewährt und eine andere ACE Schreibzugriff auf einen Benutzer gewährt, der Mitglied der Gruppe ist, kann der Benutzer sowohl Lese- als auch Schreibzugriff auf das Objekt haben.

Die folgende Abbildung zeigt die Beziehung zwischen diesen Sicherheitsinformationenblöcken:

Beziehungen zwischen Prozessen, Aces und Dacls