基于 ACL 的访问控制
正如系统使用 安全描述符 来控制对安全对象的访问一样,服务器可以使用安全描述符来控制对其专用对象的访问。 有关 Windows 安全模型的详细信息,请参阅 访问控制模型。
受保护的服务器可以 使用 DACL 创建安全描述符,该描述符指定各种 受托人允许的访问类型。 简单情况下,服务器可以创建一个安全描述符,控制对服务器所有数据和功能的访问。 为了更精细地进行保护,服务器可以为其每个专用对象或不同类型的功能创建安全描述符。
例如,当客户端要求服务器在数据库中创建新对象时,服务器可以为新的专用对象创建安全描述符。 然后,服务器可以将安全描述符与专用对象存储在数据库中。 当客户端尝试访问对象时,服务器将检索安全描述符来检查客户端的访问权限。 请务必注意,安全描述符中没有任何与它所保护的对象或功能关联的描述符。 相反,由受保护的服务器来维护关联。
还可以审核对专用对象的访问。 有关此说明,请参阅 审核对专用对象的访问。