Partager via

Listes de contrôle d’accès

  • Article

Une liste de contrôle d’accès (ACL) est une liste des entrées de contrôle d’accès (ACE). Chaque ACE d’une liste de contrôle d’accès identifie un de fiduciaire et spécifie les droits d’accès autorisés, refusés ou audités pour ce fiduciaire. Le descripteur de sécurité pour un objet sécurisable peut contenir deux types de listes de contrôle d’accès : un DACL et un SACL.

Une liste de contrôle d’accès discrétionnaire (DACL) identifie les fiduciaires autorisés ou refusés d’accéder à un objet sécurisable. Lorsqu’un processus tente d’accéder à un objet sécurisable, le système vérifie les ACL de l’objet pour déterminer s’il faut lui accorder l’accès. Si l’objet n’a pas de liste de contrôle d’accès, le système accorde un accès complet à tout le monde. Si la liste de contrôle d’accès de l’objet n’a pas d’ACL, le système refuse toutes les tentatives d’accès à l’objet, car la liste de contrôle d’accès n’autorise aucun droit d’accès. Le système vérifie les AE dans la séquence jusqu’à ce qu’il trouve un ou plusieurs acEs qui autorisent tous les droits d’accès demandés, ou jusqu’à ce que l’un des droits d’accès demandés soit refusé. Pour plus d’informations, consultez Comment les DACL contrôlent l’accès à un objet. Pour plus d’informations sur la création correcte d’une liste DACL, consultez Création d’unDACL .

Une liste de contrôle d’accès système (SACL) permet aux administrateurs de journaliser les tentatives d’accès à un objet sécurisé. Chaque ACE spécifie les types de tentatives d’accès par un administrateur spécifié qui entraîne la génération d’un enregistrement dans le journal des événements de sécurité. Un ACE dans une liste de contrôle d’accès peut générer des enregistrements d’audit lorsqu’une tentative d’accès échoue, lorsqu’elle réussit ou les deux. Pour plus d’informations sur les listes SACL, consultez de génération d’audit et droit d’accès SACL.

N’essayez pas de travailler directement avec le contenu d’une liste de contrôle d’accès. Pour vous assurer que les listes de contrôle d’accès sont sémantiquement correctes, utilisez les fonctions appropriées pour créer et manipuler des listes de contrôle d’accès. Pour plus d’informations, consultez Obtention d’informations à partir d’une liste de contrôle d’accès et Création ou modification d’une liste de contrôle d’accès.

Les listes de contrôle d’accès fournissent également un contrôle d’accès aux objets de service Microsoft Active Directory. Les interfaces de service Active Directory (ADSI) incluent des routines pour créer et modifier le contenu de ces listes de contrôle d’accès. Pour plus d’informations, consultez Contrôle de l’accès aux objets dans les services de domaine Active Directory.