Access Token

Wenn sich ein Benutzer in Windows anmeldet, erhält er vom Betriebssystem ein sogenanntes Access Token.


Das Bild links enthält nicht alle, aber die wesentlichen Elemente eines Access Tokens. Das wichtigste ist der Benutzer - Account, für den das Token erstellt wurde. Damit kann das Token wie eine Art "Personalausweis" für den entsprechenden Benutzer verwendet werden: Wann immer der Benutzer einen Zugriff auf eine Ressource tätigen will, "zeigt" er sein Token, und das Betriebssystem kann dann entscheiden, ob er Zugriff erhält oder nicht.

Alle Benutzergruppen, in denen der jeweilige Benutzer Mitglied ist, sind in dem Token aufgelistet, so daß eine vollständige Berechtigungsprüfung durchgeführt werden kann.

Dieses Token wird im Verlauf der Windows - Sitzung kopiert für jeden Prozess, den der Benutzer startet. Das heißt, daß jeder Prozess, der auf dem Betriebssystem läuft, immer auch ein Token hat, welches abgefragt werden kann, und welches Informationen über den Erzeuger des Prozesses hat. Wer sich im Task-Manager die Prozessliste ansieht, bekommt diesen Benutzernamen angezeigt.

Das Access Token enthält auch eine sogenannte "Default DACL": Diese wird dazu verwendet, einen neuen Security Descriptor zu erzeugen, wenn der zugehörige Benutzer eine neue Ressource erstellt. Damit beantwortet sich auch die Frage aus dem letzten Abschnitt. Diese Default DACL wird beim Anmeldevorgang bereits zusammengestellt, damit nicht bei jeder Ressourcenerzeugung eine neue DACL erstellt werden muß. Sie ist natürlich so aufgebaut, daß der Erzeuger der Ressource auch Besitzer der Ressource wird.

Access Token ist sozusagen der Schlüssel zur Access Control List (ACL)