Книга: Системное программирование в среде Windows

Списки контроля доступа

Списки контроля доступа

Каждый ACL состоит из совокупности элементов контроля доступа (Access Control Entry, АСЕ). Существует два типа АСЕ: для разрешения данного вида доступа (allowed) и его запрета (denied).

Сначала список ACL инициализируют посредством функции InitializeAcl, a затем добавляют в него элементы АСЕ. Каждый АСЕ содержит SID и маску доступа (access mask), определяющую, какие именно права доступа предоставляются пользователю или группе, идентифицируемым по их SID, а в каких им отказано. В качестве типичного примера прав доступа к файлам можно привести права доступа FILE_GENERIC_READ и DELETE.

Добавление элементов АСЕ в разграничительные списки ACL осуществляется при помощи двух функций — AddAccessAllowedAce и AddAccessDenieddAce. Функция AddAuditAccessAce служит для добавления элементов в SACL, что позволяет отслеживать попытки доступа, осуществляемые с использованием указанного SID. 


Рис. 15.1. Строение дескриптора безопасности

Наконец, для удаления АСЕ из списка используется функция DeleteAce, а для извлечения — функция GetAce.

Оглавление книги


Генерация: 1.257. Запросов К БД/Cache: 3 / 1
поделиться
Вверх Вниз