Windows Security子系统：Access Control- -

现在终于慢慢地明白了Windows安全子系统中Access Control的的模型，确实很麻烦，但是，这是高安全性的cost。

Windows基本的的安全架构是基于Access Tokens和Security Descriptor的，任何一个Accesser(访问的发起者)都拥有一个Access Token，而每一个Accessee(访问的接受者)都拥有一个Security Descriptor，系统会在需要进行Access Control的时候进行Tokens和Descriptor的比较，来确定是否允许访问。

每个Access Token都包含有必要的信息，主要是用户的SID，所属Group的SID，logon Session SID，特权列表，Owner的SID，Primary Group的SID，DACL，等等。而Descriptor用来表示每个Securable Object的安全性，包括Object的Owner，Primary Group，DACL，SACL，以及一些和Object本身相关的信息。

然后就是ACL(Access Control List)，其中包含有许多的ACE(Access Control Entry)，系统在进行Access Control的时候，就是拿它们相互比较的。

基本架构差不多了，细节还有好多不懂。