客户端安全上下文

与所有进程一样，受保护的服务器具有描述其安全上下文的主访问令牌。 当客户端连接到受保护的服务器时，服务器可能希望使用客户端的安全上下文而不是服务器的安全上下文来执行操作。 例如，当动态数据交换 (DDE) 会话中的客户端从 DDE 服务器请求信息时，服务器需要验证是否允许客户端访问该信息。

服务器可以通过两种方式在客户端的安全上下文中执行操作：

• 服务器进程的线程可以模拟客户端。 在这种情况下，服务器的线程具有一个模拟 访问令牌 ，用于标识客户端、客户端的组和客户端的 特权。 有关详细信息，请参阅 客户端模拟。
• 服务器可以获取客户端的 凭据 ，并将客户端登录到服务器的计算机。 这会创建新的登录 会话 并为客户端生成主访问令牌。 然后，服务器可以使用客户端的访问令牌来模拟客户端或启动在客户端的安全上下文中运行的新进程。 有关详细信息，请参阅 客户端登录会话。

在大多数情况下，模拟客户端就足够了。 模拟使服务器能够检查客户端对安全对象的访问权限，检查客户端的权限，并生成用于标识客户端的审核线索条目。 通常，仅当服务器需要使用客户端的安全上下文来访问网络资源时，才需要启动客户端登录会话。