實作 AppContainer

AppContainer 是藉由將新資訊新增至進程權杖、變更 SeAccessCheck () 來實作，讓所有舊版、未修改的存取控制清單 (ACL) 物件預設會封鎖來自 AppContainer 進程的存取要求，以及重新設定 AppContainers 可用的 ACL 物件。

程序

首先，新增進程權杖的新資訊。 然後變更 SeAccessCheck () ，讓所有舊版未修改的 ACL 預設都會封鎖來自 AppContainer 進程的存取要求。 最後，重新提供 AppContainers 的 ACL 資源

AppContainer SID 是 appcontainer 的持續唯一識別碼。 功能 SID 會將資源群組的存取權授與 AppContainers 群組。 AppContainerNumber 是用來區分 AppContainers 的暫時性 DWORD 。 不過，它不應該作為 AppContainer 的身分識別。

若要允許單一 AppContainer 存取資源，請將其 AppContainerSID 新增至該資源的 ACL。

若要允許數個特定的 AppContainers 存取資源，請將其所有 AppContainerSID 新增至該資源的 ACL。

若要管理許可權群組，請建立功能 SID (GUID) ，並將該功能 SID 放在要授與的所有資源上。 然後將功能 SID 新增至您的進程權杖。

若要允許所有 AppContainers 存取資源，請將 ALL APPLICATION PACKAGES SID 新增至該資源的 ACL。 這就像萬用字元。

AppContainerSID 和 CapabilitySID 都支援存取控制專案 (ACE) 中的存取遮罩。 視需要設定。