Compartir a través de

Listas de control de acceso

  • Artículo

Una lista de control de acceso (ACL) es una lista de entradas de control de acceso (ACE). Cada ACE de una ACL identifica un de administrador de y especifica los derechos de acceso permitidos, denegados o auditados para ese administrador. El descriptor de seguridad para un objeto protegible de puede contener dos tipos de ACL: un DACL de y un SACL.

Una lista de control de acceso discrecional (DACL) identifica a los administradores permitidos o denegados de acceso a un objeto protegible. Cuando un proceso de intenta acceder a un objeto protegible, el sistema comprueba los ACL en la DACL del objeto para determinar si se debe conceder acceso a él. Si el objeto no tiene una DACL, el sistema concede acceso total a todos los usuarios. Si la DACL del objeto no tiene ACL, el sistema deniega todos los intentos de acceder al objeto porque la DACL no permite ningún derecho de acceso. El sistema comprueba los ACE en secuencia hasta que encuentre uno o varios ACL que permitan todos los derechos de acceso solicitados o hasta que se deniegue cualquiera de los derechos de acceso solicitados. Para obtener más información, vea Cómo controlan los DACL el acceso a un objeto. Para obtener información sobre cómo crear correctamente una DACL, vea Creating a DACL.

Una lista de control de acceso del sistema (SACL) permite a los administradores registrar intentos de acceder a un objeto protegido. Cada ACE especifica los tipos de intentos de acceso de un administrador especificado que hacen que el sistema genere un registro en el registro de eventos de seguridad. Una ACE de una SACL puede generar registros de auditoría cuando se produce un error en un intento de acceso, cuando se realiza correctamente o ambos. Para obtener más información sobre las SACL, consulte de generación de auditoría y derecho de acceso SACL.

No intente trabajar directamente con el contenido de una ACL. Para asegurarse de que las ACL sean semánticamente correctas, use las funciones adecuadas para crear y manipular ACL. Para obtener más información, vea Obtener información de una de ACL y Crear o modificar una ACL.

Las ACL también proporcionan control de acceso a los objetos de servicio de Microsoft Active Directory. Las interfaces de servicio de Active Directory (ADSI) incluyen rutinas para crear y modificar el contenido de estas ACL. Para obtener más información, consulte Control del acceso a objetos en Active Directory Domain Services.