Controllo di accesso basato su ACL

Proprio come il sistema usa descrittori di sicurezza per controllare l'accesso agli oggetti a protezione diretta, un server può usare descrittori di sicurezza per controllare l'accesso ai propri oggetti privati. Per altre informazioni sul modello di sicurezza di Windows, vedere Controllo di accesso Modello.

Un server protetto può creare un descrittore di sicurezza con un elenco dati che specifica i tipi di accesso consentiti per vari trustee. In un caso semplice, il server potrebbe creare un singolo descrittore di sicurezza per controllare l'accesso a tutti i dati e le funzionalità del server. Per una granularità più fine della protezione, il server potrebbe creare descrittori di sicurezza per ognuno dei relativi oggetti privati o per diversi tipi di funzionalità.

Ad esempio, quando un client chiede al server di creare un nuovo oggetto in un database, il server potrebbe creare un descrittore di sicurezza per il nuovo oggetto privato. Il server potrebbe quindi archiviare il descrittore di sicurezza con l'oggetto privato nel database. Quando un client tenta di accedere all'oggetto, il server recupera il descrittore di sicurezza per controllare i diritti di accesso del client. È importante notare che non c'è nulla in un descrittore di sicurezza che lo associa all'oggetto o alla funzionalità che protegge. Il server protetto deve invece mantenere l'associazione.

È anche possibile controllare l'accesso all'oggetto privato. Per una descrizione di questa descrizione, vedere Controllo dell'accesso agli oggetti privati .