Маркер доступа

Маркер доступа (англ. Access token) — программный объект операционных систем класса Microsoft Windows, содержит информацию по безопасности сеанса и идентифицирует пользователя, группу пользователей и пользовательские привилегии.

Обзор

Маркер доступа — это объект, инкапсулирующий дескриптор безопасности процесса[1]. Прилагаемый к процессу, дескриптор безопасности идентифицирует собственника объекта[2][3]. Пока маркер используется для представления только информации по безопасности, он технически свободен по своему содержанию и может содержать любые данные. Маркер доступа используется Windows, когда процесс пытается взаимодействовать с объектами, дескрипторы безопасности которых требуют контроль доступа[1]. Маркер доступа представлен системным объектом типа Token . По причине того, что маркер — обычный системный объект, доступ к самому маркеру может быть проконтролирован с помощью дескриптора безопасности, но это обычно никогда не делается на практике.

Маркер доступа генерируется сервисом входа в систему, когда пользователь регистрируется и его подлинность успешно установлена, определяя права пользователя в дескрипторе безопасности, заключенном в маркер. Маркер прилагается к каждому процессу, созданному сессией пользователя (процессы, собственником которых является пользователь)[1]. Когда бы такой процесс ни запрашивал любой ресурс, доступ к которому контролируется, Windows смотрит в дескрипторе безопасности в маркере доступа, имеет ли пользователь, владелец данного процесса, право доступа к данным, и, если да, какие операции (чтение, запись/изменение) ему дозволены. Если операция дозволена в контексте данного пользователя, Windows позволяет процессу её продолжать, если нет, то отказывает в доступе.

Типы маркеров доступа

Существует два типа маркеров доступа:

Первичный маркер доступа

Первичные маркеры доступа могут быть ассоциированы только с процессом и представляют собой субъект безопасности процесса. Создание первичных маркеров и их ассоциация с процессом являются привилегированными операциями, нуждающимися в двух различных привилегиях (для разделения привилегий). В типичном сценарии сервис идентификации создаёт токен, а сервис входа в систему ассоциирует его с оболочкой операционной системы пользователя. В при создании новые процессы наследуют копию первичного маркера родительского процесса.

Имперсонализирующие маркеры доступа

Имперсонализация — это концепт безопасности, присущий только Windows NT, что позволяет серверному приложению временно «быть» клиентом для доступа к охраняемому объекту. Имперсонализация состоит из трёх возможных уровней: идентификация, позволяющий серверу проверять подлинность клиента, имперсонализация, позволяющая серверу работать от имени клиента, и делегация, то же, что и имперсонализация, только расширена на работу с удалёнными системами, с которыми связывается сервер. Клиент может выбрать максимально возможный уровень имперсонализации на сервере в параметре подключения. Делегация и имперсонализация — привилегированные операции. Имперсонализирующие маркеры доступа могут быть ассоциированы только с потоками и представляют собой субъекты безопасности клиентского процесса. Имперсонализирующие маркеры обычно создаются и ассоциируются с текущим потоком неявно при помощи IPC механизмов, таких как DCE RPC, DDE и именованные каналы.

Составляющие маркера доступа

Маркер доступа состоит из различных полей, включая, но не ограничиваясь, следующие:

  • идентификатор;
  • идентификатор ассоциированной сессии входа в систему. Сессия обслуживается сервисом идентификации и заполняется идентификационными пакетами с коллекцией всей информации (мандат), сообщенной пользователем во время входа в систему. Мандат используется для доступа к удаленным системам без необходимости переидентифицировать клиента, предусматривающий, что все вовлеченные системы делятся информацией по идентификации.
  • идентификатор пользователя. Это поле наиболее важное и защищено от записи.
  • идентификатор групп, частью который является пользователь (или, точнее, субъект). Идентификаторы групп не могут быть удалены, но могут быть отключены. Как максимум, одна из групп назначается идентификатором сессии, произвольная группа, представляющая собой сессию входа в систему, позволяющая получить доступ к различным объектам, ассоциированным с сессией.
  • ограничивающие идентификаторы группы (поле не обязательно). Это дополнительное множество групп, не дающее дополнительного доступа, но ограничивающее его: доступ к объекту открыт только, если он также открыт для одной из этих групп. Данный вид групп не может быть ни удалён, ни отключён.
  • привилегии, то есть специальные возможности пользователя. Большинство привилегий по умолчанию отключено, чтобы исключить возможные повреждения от плохо защищённых программ. Начиная с Windows XP Service Pack 2 и Windows Server 2003, привилегии могут быть удалены из маркера доступа вызовом AdjustTokenPrivileges() с атрибутом SE_PRIVILEGE_REMOVE.

Владелец по умолчанию, первичная группа и ACL для объектов, созданных субъектом, ассоциированным с маркером пользователя.

Примечания

  1. 1 2 3 Access Tokens Архивная копия от 21 июля 2012 на Wayback Machine  (англ.)
  2. Security descriptors Архивная копия от 5 августа 2011 на Wayback Machine  (англ.)
  3. Securable objects Архивная копия от 5 августа 2011 на Wayback Machine  (англ.)

Read other articles:

Qurobo Kudus

Bagian dari seri tentangGereja KatolikBasilika Santo Petrus, Kota Vatikan Ikhtisar Paus (Fransiskus) Hierarki Sejarah (Lini Masa) Teologi Liturgi Sakramen Maria Latar Belakang Yesus Penyaliban Kebangkitan Kenaikan Gereja Perdana Petrus Paulus Bapa-Bapa Gereja Sejarah Gereja Katolik Sejarah Lembaga Kepausan Konsili Ekumene Magisterium Empat Ciri Gereja Satu Gereja Sejati Suksesi Apostolik Organisasi Takhta Suci Kuria Romawi Dewan Kardinal Konsili Ekumene Lembaga Keuskupan Gereja Latin Gereja-G...

 

中国人民解放军陆军第十四集团军炮兵旅

陆军第十四集团军炮兵旅陆军旗存在時期1950年 - 2017年國家或地區 中国效忠於 中国 中国共产党部門 中国人民解放军陆军種類炮兵功能火力支援規模约90门火炮直屬南部战区陆军參與戰役1979年中越战争 中越边境冲突 老山战役 成都军区对越轮战 紀念日10月25日 陆军第十四集团军炮兵旅(英語:Artillery Brigade, 14th Army),是曾经中国人民解放军陆军第十四集团军下属�...

 

Senapan kopak

Senapan kopak milik Philip V dari Spanyol, dibuat oleh A. Tienza, Madrid sekitar tahun 1715. Itu datang dengan patrun yang bisa digunakan kembali yang siap pakai. Ini adalah sistem miquelet. Senapan kopak adalah senapan yang diisi dari bagian belakang laras (breech-loader). Ia juga dikenal sebagai senapan kulai atau senapan patah. Etimologi Ia berasal dari 2 kata, yaitu senapan dan kopak. Senapan berarti senjata api berlaras panjang. Ia merupakan korupsi dari kata Belanda snappaan.[1]...

Shelley Moore Capito

Shelley Moore Capito Portrait officiel de Shelley Moore Capito (2015). Fonctions Sénatrice des États-Unis En fonction depuis le 3 janvier 2015(9 ans, 3 mois et 10 jours) Élection 4 novembre 2014 Réélection 3 novembre 2020 Circonscription Virginie-Occidentale Législature 114e, 115e, 116e, 117e et 118e Groupe politique Républicain Prédécesseur Jay Rockefeller Représentante des États-Unis 3 janvier 2001 – 3 janvier 2015(14 ans) Élection 7 novembre 2000 Réélec...

 

Eduardo Pereira Rodrigues

Dudu Nazionalità  Brasile Altezza 166[1] cm Peso 80[1] kg Calcio Ruolo Attaccante Squadra  Palmeiras Carriera Giovanili 2005-2010 Cruzeiro Squadre di club1 2009-2010 Cruzeiro6 (0)[2]2010→  Coritiba21 (0)2010-2011 Cruzeiro6 (0)[3]2011-2014 Dinamo Kiev30 (3)2014-2015→  Grêmio35 (3)[4]2015-2020 Palmeiras154 (41)[5]2020-2021→  Al-Duhail22 (14)2021- Palmeiras46 (8) Nazionale 2009-2010 Br...

 

The Punisher War Journal (1988 series)

The Punisher War JournalCover to issue 11, art by Jim Lee.Publication informationPublisherMarvel ComicsScheduleMonthlyFormatOngoing seriesPublication date1988-1995No. of issues80Main character(s)PunisherCreative teamCreated byMike BaronCarl PottsRoger SalickJohn WellingtonWritten byCarl Potts (1-15, 17-24), Mike Baron (16, 25-37), Steven Grant (50, 65-75), Chuck Dixon (38-42, 44-64, 75-80), Richard Rainey (43), Roger Salick (64), John Wellington (4)Artist(s)Neil HansenJim LeeCarl PottsDave Ro...

コルク

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方)出典検索?: コルク – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL(2017年4月) コルクを打ち抜いて作った瓶の栓 コルク(木栓、�...

 

Тынтесян, Егия

Егия Тынтесянарм. Եղիա Տնտեսյան Основная информация Дата рождения 29 марта (10 апреля) 1834(1834-04-10) Место рождения Константинополь, Османская империя Дата смерти 23 апреля (5 мая) 1881(1881-05-05) (47 лет) Место смерти Константинополь, Османская империя Страна  Османская ...

 

Клиппертон

У этого топонима есть и другие значения, см. Клиппертон (значения). Клиппертонфр. Île de Clipperton Характеристики Площадь1,7 км² Наивысшая точка29 м Население0 чел. (2012) Расположение 10°18′00″ с. ш. 109°13′00″ з. д.HGЯO АкваторияТихий океан Страна Франция Клипперт�...

Houston Heights

Neighborhood of Houston in Harris, Texas, United StatesHouston Heights, TexasNeighborhood of HoustonHouston Heights, TexasLocation within the state of TexasCoordinates: 29°47′53″N 95°23′53″W / 29.79806°N 95.39806°W / 29.79806; -95.39806CountryUnited StatesStateTexasCountyHarrisElevation59 ft (18 m)Time zoneUTC-6 (Central (CST)) • Summer (DST)UTC-5 (CDT)ZIP code77008Area code(s)281, 713, 832, 346, 936GNIS feature ID1374161[1] Ho...

 

Minami Uwano

Japanese cyclist Minami UwanoMinami Uwano (2016)Personal informationBorn (1991-05-18) 18 May 1991 (age 33)Team informationRoleRider Medal record World Championships 2015 Yvelines Points race Minami Uwano (上野 みなみ, Uwano Minami, born 18 May 1991) is a Japanese racing cyclist.[1] She competed in the 2013 UCI women's road race in Florence.[2] At the 2015 UCI Track Cycling World Championships she won a silver medal in the points race.[3] She competed at the 2...

 

1970 en Grèce

Nouveau drapeau de la Grèce, changé par la dictature des colonels. Chronologie de la Grèce ◄◄ 1966 1967 1968 1969 1970 1971 1972 1973 1974 ►► Chronologies Données clés 1967 1968 1969  1970  1971 1972 1973Décennies :1940 1950 1960  1970  1980 1990 2000Siècles :XVIIIe XIXe  XXe  XXIe XXIIeMillénaires :-Ier Ier  IIe  IIIe Chronologies géographiques Afrique Afrique du Sud, Algérie, Angola, Bénin, Botswana, Burkina Faso, Bur...

Sir John Brunner, 1st Baronet

For other people named John Brunner, see John Brunner (disambiguation). British industrialist and politician (1842–1919) The Right Honourable SirJohn BrunnerBt DLJohn Brunner in 1885BornJohn Tomlinson Brunner8 February 1842 (1842-02-08)Everton, Liverpool, EnglandDied1 July 1919 (1919-08) (aged 77)Chertsey, Surrey, EnglandEducationSt. George's House, EvertonOccupation(s)Chemical industrialist, politicianTitleBaronetSpouses Salome Davies Jane Wyman ChildrenJohn Fowler Leece...

 

List of museum ships

For submarines preserved in or as museums, see List of submarine museums. For museum ships in Canada or in the United States, see List of museum ships in North America. This list of museum ships is a sortable, annotated list of notable museum ships around the world. This includes ships preserved in museums defined broadly but is intended to be limited to substantial (large) ships or, in a few cases, very notable boats or dugout canoes or the like. This list does not include submarines; see L...

 

London Stock Exchange

Stock exchange in the City of London London Stock ExchangeArmsTypeStock exchangeLocationCity of London, England, United KingdomFounded30 December 1801; 222 years ago (1801-12-30)OwnerLondon Stock Exchange GroupKey people Don Robert(Chairman) David Schwimmer(CEO) CurrencySterling (most primary listings; stock prices are quoted in pence rather than pounds)No. of listings1,918 issuers [1]Market capUSD$3.18 trillion (as of August 2023[update])...

كاليدونيا الجديدة

كاليدونيا الجديدة    علم شعار الاسم الرسمي (بالفرنسية: Nouvelle-Calédonie)‏    الإحداثيات 21°15′S 165°18′E / 21.25°S 165.3°E / -21.25; 165.3   [1] تاريخ التأسيس 1853  سبب التسمية إسكتلندا[2]  تقسيم إداري  البلد فرنسا[3][4]  التقسيم الأعلى فرنسا  الع�...

 

Kabinet Hitler

Kabinet Penyelamatan Nasional Reich Jerman Kabinet Adolf HitlerKabinet Pemerintahan Jerman Nazi30 Januari 1933 – 30 April 1945Sidang pertama kabinet, 1933Dibentuk30 Januari 1933 (1933-01-30)Diselesaikan30 April 1945 (1945-04-30)Struktur pemerintahanKepala pemerintahanAdolf HitlerWakil kepala pemerintahanFranz von Papen(30 Januari 1933 – 7 Agustus 1934)Partai anggotaNSDAPDNVP(30 Januari 1933 – 27 Juni 1933; membubarkan diri pada 27 Juni 1933)Status di legislatifK...

 

Quartiere Chiesa Rossa

Quartiere Chiesa RossaIl centro civico Stato Italia Regione Lombardia Provincia Milano Città Milano CircoscrizioneMunicipio 5 Quartiere Chiesa RossaQuartiere Chiesa Rossa (Milano) Il quartiere Chiesa Rossa è un quartiere di edilizia residenziale pubblica di Milano, posto alla periferia meridionale della città e appartenente al municipio 5. Prende il nome dalla cosiddetta Chiesa Rossa, un piccolo edificio religioso posto lungo la strada per Pavia. Indice 1 Storia 2 Caratteris...

Albert G. Porter

American politician This article relies largely or entirely on a single source. Relevant discussion may be found on the talk page. Please help improve this article by introducing citations to additional sources.Find sources: Albert G. Porter – news · newspapers · books · scholar · JSTOR (June 2020) Albert G. PorterPrint published in 1888 by Baker & Randolph, after a photo by Clark19th Governor of IndianaIn officeJanuary 10, 1881 – Ja...

 

Miss Universe Malaysia

Annual beauty pageant competition in Malaysia Miss Universe MalaysiaFormation1962; 62 years ago (1962)TypeBeauty pageantOrganizationHeadquartersKuala LumpurLocationMalaysiaMembership Miss UniverseOfficial language EnglishNational DirectorEleen YongFranchise HolderMyEG Services BerhadCurrent titleholder Serena LeeKey people Jakkaphong Jakrajutatip Raul Rocha Websitemumo.com.my Miss Universe Malaysia is an annual national beauty pageant and an organization that selects Malaysi...