Anmeldevorgang und Access-Token

Betrachten wir eine Anmeldung an einem Windows NT-System aus systeminterner Sichtweise. Übrigens: statt der Tastenkombination STRG+ALT+ENTF könnte an dieser Stelle auch die Aufforderung zur Eingabe einer Chipkarte stehen. Entsprechende Produkte sind über Dritthersteller verfügbar.
 
 

Schritte einer Anmeldung
 

1. Der Benutzer meldet sich am Anmeldebildschirm an. Hierzu gibt er seinen Benutzernamen und sein Kennwort ein. Der Logon-Prozeß (Anmeldeprozeß) wird gestartet. 
2. Der Anmeldeprozeß gibt die Benutzerkennung und das Paßwort an das Sicherheitssubsystem weiter.
3. Das Sicherheitssubsystem ruft ein Authentication Package auf. Die Packages ermöglichen verschiedene Authentifizierungsmöglichkeiten. Hier könnte ein Dritthersteller ein eigenes Authentifizierungsverfahren einführen. Standardmäßig wird das eingebaute Package verwendet, das die Anfrage an den Security Account Manager weitergibt.
4. Der Security Account Manager (SAM) verwaltet eine Datenbank mit Benutzerkennungen, die Security Account Manager Database.
5. Es wird die Security-ID (SID) des Benutzers und die SIDs aller Gruppen, denen er angehört zurückgegeben.
6. Es wird eine Logon Session angelegt und zurückgegeben.
7. Es wird ein Access Token erstellt. Dieses enthält die (Sicherheits-) Informationen über den Benutzter.
8. Die Windows NT-Oberfläche mit dem Explorer wird unter dem Kontext des soeben authentifizierten Benutzers gestartet.

Das Access-Token 

Das Access-token wird bei jedem Zugriff auf Objekte intern benötigt. Ohne Access-Token kein Zugriff auf Objekte. Es ist eine Art "Ausweis" des Benutzers. Es enthält folgende Informationen:

Benutzer
Security-ID (SID) des Benutzers

Gruppen
Security-IDs (SID) der Gruppen, in denen der Benutzer Mitglied ist

Spezielle Rechte
Informationen über spezielle Benutzerrechte über die dieser Benutzer verfügt. Benutzerrechte sind z.B. Ändern der Systemzeit, Debuggen von Programmen