Partilhar via


Partes do modelo de Controle de Acesso

Há duas partes básicas do modelo de controle de acesso:

Quando um usuário faz logon, o sistema autentica o nome e a senha da conta do usuário. Se o logon for bem-sucedido, o sistema criará um token de acesso. Cada processo executado em nome desse usuário terá uma cópia desse token de acesso. O token de acesso contém identificadores de segurança que identificam a conta do usuário e quaisquer contas de grupo às quais o usuário pertence. O token também contém uma lista dos privilégios mantidos pelo usuário ou pelos grupos do usuário. O sistema usa esse token para identificar o usuário associado quando um processo tenta acessar um objeto protegível ou executar uma tarefa de administração do sistema que requer privilégios.

Quando um objeto protegível é criado, o sistema atribui a ele um descritor de segurança que contém informações de segurança especificadas por seu criador ou informações de segurança padrão se nenhuma for especificada. Os aplicativos podem usar funções para recuperar e definir as informações de segurança para um objeto existente.

Um descritor de segurança identifica o proprietário do objeto e também pode conter as seguintes listas de controle de acesso:

Uma ACL contém uma lista de ACEs ( entradas de controle de acesso ). Cada ACE especifica um conjunto de direitos de acesso e contém um SID que identifica um administrador para o qual os direitos são permitidos, negados ou auditados. Um administrador pode ser uma conta de usuário, uma conta de grupo ou uma sessão de logon.

Use funções para manipular o conteúdo de descritores de segurança, SIDs e ACLs em vez de acessá-los diretamente. Isso ajuda a garantir que essas estruturas permaneçam sintaticamente precisas e impede que melhorias futuras no sistema de segurança quebrando o código existente.

Os tópicos a seguir fornecem informações sobre partes do modelo de controle de acesso: