基于 ACL 的访问控制

正如系统使用 安全描述符 来控制对安全对象的访问一样，服务器可以使用安全描述符来控制对其专用对象的访问。 有关 Windows 安全模型的详细信息，请参阅 访问控制模型。

受保护的服务器可以 使用 DACL 创建安全描述符，该描述符指定各种 受托人允许的访问类型。 简单情况下，服务器可以创建一个安全描述符，控制对服务器所有数据和功能的访问。 为了更精细地进行保护，服务器可以为其每个专用对象或不同类型的功能创建安全描述符。

例如，当客户端要求服务器在数据库中创建新对象时，服务器可以为新的专用对象创建安全描述符。 然后，服务器可以将安全描述符与专用对象存储在数据库中。 当客户端尝试访问对象时，服务器将检索安全描述符来检查客户端的访问权限。 请务必注意，安全描述符中没有任何与它所保护的对象或功能关联的描述符。 相反，由受保护的服务器来维护关联。

还可以审核对专用对象的访问。 有关此说明，请参阅 审核对专用对象的访问。