Взаимодействие между потоками и защищаемыми объектами
Когда поток пытается использовать защищаемый объект, система выполняет проверку доступа, прежде чем разрешить потоку продолжить. При проверке доступа система сравнивает сведения о безопасности в маркера доступа потока с сведениями о безопасности в дескриптора безопасности объекта.
- Маркер доступа содержит идентификаторы безопасности (SID), которые определяют пользователя, связанного с потоком.
- Дескриптор безопасности определяет владельца объекта и содержит список управления доступом (DACL). DACL содержит записи управления доступом (ACEs), каждый из которых указывает права доступа, разрешенные или запрещенные для определенного пользователя или группы.
Система проверяет DACL объекта, ищу acEs, которые применяются к идентификаторам безопасности пользователей и групп из маркера доступа потока. Система проверяет каждый ACE до тех пор, пока доступ не будет предоставлен или запрещен или пока не будет проверяться. Вполне возможно, список управления доступом (ACL) может иметь несколько ACL, которые применяются к идентификаторам SID маркера. И, если это происходит, права доступа, предоставляемые каждым ACE, накапливаются. Например, если один ACE предоставляет доступ на чтение к группе, а другой ACE предоставляет доступ на запись пользователю, являющемуся членом группы, пользователь может иметь доступ на чтение и запись к объекту.
На следующем рисунке показана связь между этими блоками сведений о безопасности:
