訪問令牌

有兩種令牌：主令牌和模擬令牌。主令牌是由windows內核創建並分配給進程的默認訪問令牌，每一個進程有一個主令牌，它描述了與當前進程相關的用户帳户的安全上下文。同時，一個線程可以模擬一個客户端帳户，允許此線程與安全對象交互時用客户端的安全上下文。一個正模擬客户端的線程擁有一個主令牌和一個模擬令牌。

訪問令牌包含進程或線程的安全上下文的完整描述，其中含有如下信息。 ^[1] 

用户（User）。用户賬號的SID。若用户登錄到本地計算機上的一個賬號，則他的 SID來自於本地SAM維護的賬號數據庫；若用户登錄到一個域賬號，則他的SID來自於活動目錄裏用户對象的Object-SID屬性。

組（Groups）。包含該用户的安全組的SID列表，表中也包含代表活動目錄裏用户 賬號的用户對象的SID-History屬性裏的SID。

特權（Privileges）。用户和用户的安全組在本地計算機上擁有的特權列表。

所有者（Owner）。特定用户或安全組的SID，這些用户或安全組默認成為用户所 創建或擁有的任何對象的所有者。

主組（Primary Group）。用户的主安全組的SID。這個信息只由POSIX子系統使用， Windows 2000的其他部分對其忽略。

默認任意訪問控制表（Default Discretionary Access Control List, DACL）。一組內置 許可權。在沒有其他訪問控制信息存在時操作系統將其作用於用户所創建的對象。默認DACL向創建所有者和系統賦予完全控制（Full Control）權限。

源（Source）。導致訪問令牌被創建的進程，例如會話管理器、LAN管理器或遠程 過程調用（RPC）服務器。

類型（Type）。指示訪問令牌是主（primary）令牌還是模擬（impersonation）令牌。 主令牌代表一個進程的安全上下文；模擬令牌是服務進程裏的一個線程，用來臨時接受一個不同的安全上下文（如服務的一個客户的安全上下文）的令牌。

模擬級別（Impersonation Level）。指示服務對該訪問令牌所代表的客户的安全上下 文的接受程度。

統計信息（Statistics）。關於訪問令牌本身的信息。操作系統在內部使用這個信息。

限制SID（Restricting SID）。由一個被授權創建受限令牌的進程添加到訪問令牌裏 的可選的SID列表。限制SID可以將線程的訪問限制到低於用户被允許的級別。

會話ID（Session ID）。指示訪問令牌是否與終端服務（Terminal Services）客户會 話相關。

線程能夠在與擁有它的進程的上下文不同的安全上下文裏執行，這種能力稱為模擬，它是為了滿足客户/服務器應用的安全需求而設計的。當在一個客户的安全上下文裏運行時，服務在某種程度上“是”客户。服務的一個線程使用代表客户資格的訪問令牌來訪問該客户有權訪問的對象。

模擬的主要原因是根據客户的標識執行訪問檢查。使用客户標識進行訪問檢查可以根據該客户擁有的許可權來限制或擴展訪問。例如，假設一個文件服務器上有包含秘密信息的文件，這些文件都由一個DACL保護。為了防止客户未經授權就可訪問這些文件中的信息，服務可以在訪問文件之前模擬客户。

每個進程都有一個主令牌（primarytoken）來描述與該進程相關的用户賬號的安全上下文。與普通的應用進程相關的用户是啓動該應用的人為用户，但對一個服務進程卻非如此：服務在自己的賬號下運行，在自己的權限內充當用户。與操作系統一起安裝的系統服務在本地系統賬號下運行，其他的服務可以配置為在這個賬號下運行，也可以給予在本地系統上或活動目錄裏的單獨賬號。一個服務的主令牌與該服務進程裏的控制線程和代表該服務運行的所有其他線程相關。它標識該服務的賬號、該賬號的組和特權。當服務請求訪問完成工作所需的對象時，在訪問檢查時使用該信息。

當服務接受一個客户時，它創建一個線程來完成這項工作並將客户的訪問令牌與工作線程相關聯。客户的訪問令牌是一個模擬令牌，它標識客户、客户的組和特權。當線程代表客户請求訪問資源時，在訪問檢查過程中使用該信息。在模擬結束後，線程重新使用主令牌並返回到服務自己的安全上下文裏操作，而不是客户的上下文。