ACL ベースのアクセス制御

セキュリティ記述子 使用してセキュリティ保護可能なオブジェクトへのアクセスを制御するのと同様に、サーバーはセキュリティ記述子を使用してそのプライベート オブジェクトへのアクセスを制御できます。 Windows セキュリティ モデルの詳細については、「アクセス制御モデルの」を参照してください。

保護されたサーバーは、さまざまな トラスティに許可されるアクセスの種類を指定する DACL を使用して、セキュリティ記述子 作成できます。 単純なケースでは、サーバーは単一のセキュリティ記述子を作成して、サーバーのすべてのデータと機能 へのアクセスを制御できます。 保護の細分性を高める場合、サーバーはプライベート オブジェクトごとに、またはさまざまな種類の機能に対してセキュリティ記述子を作成できます。

たとえば、クライアントがデータベースに新しいオブジェクトを作成するようにサーバーに要求した場合、サーバーは新しいプライベート オブジェクトのセキュリティ記述子を作成できます。 その後、サーバーは、プライベート オブジェクトを含むセキュリティ記述子をデータベースに格納できます。 クライアントがオブジェクトにアクセスしようとすると、サーバーはセキュリティ記述子を取得して、クライアントのアクセス権を確認します。 セキュリティ記述子には、保護対象のオブジェクトまたは機能に関連付けるものは何も存在しない点に注意することが重要です。 代わりに、関連付けを維持するのは保護されたサーバーにかかってください。

プライベート オブジェクトへのアクセスも監査できます。 詳細については、「プライベート オブジェクトへのアクセス の監査」を参照してください。