Управление доступом на основе ACL

Так же, как система использует дескрипторы безопасности для управления доступом к защищаемым объектам, сервер может использовать дескрипторы безопасности для управления доступом к частным объектам. Дополнительные сведения о модели безопасности Windows см. в модели управления доступом.

Защищенный сервер может создать дескриптор безопасности с daCL, который указывает типы доступа, разрешенные для различных доверенных лиц . В простом случае сервер может создать один дескриптор безопасности, чтобы управлять доступом ко всем данным и функциям сервера. Для более точной детализации защиты сервер может создавать дескрипторы безопасности для каждого из своих частных объектов или для различных типов функциональных возможностей.

Например, когда клиент просит сервера создать новый объект в базе данных, сервер может создать дескриптор безопасности для нового частного объекта. Затем сервер может хранить дескриптор безопасности с частным объектом в базе данных. Когда клиент пытается получить доступ к объекту, сервер извлекает дескриптор безопасности для проверки прав доступа клиента. Важно отметить, что нет ничего в дескрипторе безопасности, который связывает его с объектом или функциональностью, которую он защищает. Вместо этого он находится на защищенном сервере для поддержания связи.

Доступ к частному объекту также можно проверить. Сведения об этом описании см. в аудита доступа к частным объектам.