基于 ACL 的访问控制
正如系统使用 安全描述符 来控制对安全对象的访问一样,服务器可以使用安全描述符来控制对其私有对象的访问。 有关 Windows 安全模型的详细信息,请参阅访问控制模型。
受保护的服务器可以使用 DACL 创建安全描述符 ,该描述符指定各种 受信者允许的访问类型。 在简单情况下,服务器可以创建单个安全描述符来控制 对服务器所有数据和功能的访问。 为了更精细地进行保护,服务器可以为其每个私有对象或不同类型的功能创建安全描述符。
例如,当客户端要求服务器在数据库中创建新对象时,服务器可以为新的私有对象创建安全描述符。 然后,服务器可以将安全描述符与私有对象一起存储在数据库中。 当客户端尝试访问对象时,服务器会检索安全描述符以检查客户端的访问权限。 请务必注意,安全描述符中没有任何内容可将其与其保护的对象或功能相关联。 相反,由受保护的服务器来维护关联。
还可以审核对私有对象的访问。 有关此内容的说明,请参阅 审核对私有对象的访问 。