Freigeben über


Zugriffssteuerungslisten

Eine Zugriffssteuerungsliste (Access Control List, ACL) ist eine Liste Zugriffssteuerungseinträge (ACE). Jede ACE in einer ACL identifiziert einen Trustee und gibt die Zugriffsrechte zulässig, verweigert oder überwacht für diesen Trustee an. Der Sicherheitsdeskriptor für ein sicherungsfähiges Objekt kann zwei Arten von ACLs enthalten: eine DACL- und eine SACL-.

Eine diskretionäre Zugriffssteuerungsliste (DACL) identifiziert die Trustees, die den Zugriff auf ein sicherungsfähiges Objekt erlaubt oder verweigert haben. Wenn ein Prozess versucht, auf ein sicherungsfähiges Objekt zuzugreifen, überprüft das System die ACEs in der DACL des Objekts, um festzustellen, ob der Zugriff darauf gewährt werden soll. Wenn das Objekt nicht über eine DACL verfügt, gewährt das System allen Benutzern vollzugriff. Wenn die DACL des Objekts keine ACEs aufweist, verweigert das System alle Versuche, auf das Objekt zuzugreifen, da die DACL keine Zugriffsrechte zulässt. Das System überprüft die ACEs nacheinander, bis eine oder mehrere ACEs gefunden werden, die alle angeforderten Zugriffsrechte zulassen, oder bis eines der angeforderten Zugriffsrechte verweigert wird. Weitere Informationen finden Sie unter Steuern des Zugriffs von DACLs auf ein Objekt. Informationen zum ordnungsgemäßen Erstellen einer DACL finden Sie unter Erstellen einer DACL-.

Eine Systemzugriffssteuerungsliste (SACL) ermöglicht Administratoren das Protokollieren von Versuchen, auf ein gesichertes Objekt zuzugreifen. Jede ACE gibt die Arten von Zugriffsversuchen durch einen angegebenen Vertrauensverwalter an, der dazu führt, dass das System einen Datensatz im Sicherheitsereignisprotokoll generiert. Eine ACE in einer SACL kann Überwachungsdatensätze generieren, wenn ein Zugriffsversuch fehlschlägt, wenn sie erfolgreich ist oder beides erfolgreich ist. Weitere Informationen zu SACLs finden Sie unter Überwachungsgenerierung und SACL-Zugriffsrecht.

Versuchen Sie nicht, direkt mit dem Inhalt einer ACL zu arbeiten. Um sicherzustellen, dass ACLs semantisch korrekt sind, verwenden Sie die entsprechenden Funktionen, um ACLs zu erstellen und zu bearbeiten. Weitere Informationen finden Sie unter Abrufen von Informationen aus einer ACL- und Erstellen oder Ändern einer ACL-.

ACLs bieten auch Zugriffssteuerung für Microsoft Active Directory-Dienstobjekte. Active Directory-Dienstschnittstellen (ADSI) umfassen Routinen zum Erstellen und Ändern des Inhalts dieser ACLs. Weitere Informationen finden Sie unter Steuern des Objektzugriffs in Active Directory Domain Services.