DACL 包含允许拒绝项
  SACL包含审核项(审核成功/失败)告诉Windows哪些动作要向安全事件日志中记录
  打开对象时,Windows取得线程令牌中的用户名,读取安全描述符中的DACL,对访问进行判断(允许/拒绝)

  关于访问令牌
  访问令牌:进程访问令牌、线程访问令牌、线程模拟令牌
  除非线程在模拟身份否则不需要线程令牌只需要进程令牌