Contexte de sécurité du client
Comme tous les processus, un serveur protégé a un jeton d’accès principal qui décrit son contexte de sécurité. Lorsqu’un client se connecte à un serveur protégé, il peut souhaiter effectuer des actions à l’aide du contexte de sécurité du client plutôt que du contexte de sécurité du serveur. Par exemple, lorsqu’un client dans une conversation d’échange de données dynamique (DDE) demande des informations à un serveur DDE, le serveur doit vérifier que le client est autorisé à accéder aux informations.
Il existe deux façons pour un serveur d’agir dans le contexte de sécurité du client :
- Un thread du processus serveur peut emprunter l’identité du client. Dans ce cas, le thread du serveur a un jeton d’accès d’emprunt d’identité qui identifie le client, les groupes du client et les privilèges du client. Pour plus d’informations, consultez Emprunt d’identité client.
- Le serveur peut obtenir les informations d’identification du client et le journaliser sur l’ordinateur du serveur. Cela crée une session d’ouverture de session et génère un jeton d’accès principal pour le client. Le serveur peut ensuite utiliser le jeton d’accès du client pour emprunter l’identité du client ou pour démarrer un nouveau processus qui s’exécute dans le contexte de sécurité du client. Pour plus d’informations, consultez Sessions d’ouverture de session client.
Dans la plupart des cas, emprunter l’identité du client est suffisant. L’emprunt d’identité permet au serveur de case activée l’accès du client aux objets sécurisables, de case activée les privilèges du client et de générer des entrées de piste d’audit qui identifient le client. En règle générale, un serveur doit démarrer une session d’ouverture de session client uniquement s’il doit utiliser le contexte de sécurité du client pour accéder aux ressources réseau.