Condividi tramite

Elenchi di controllo di accesso

  • Articolo

Un elenco di controllo di accesso (ACL) è un elenco di voci di controllo di accesso (ACE). Ogni ace in un elenco di controllo di accesso identifica un trustee e specifica i diritti di accesso consentiti, negati o controllati per tale trustee. Il descrittore di sicurezza per un oggetto a protezione diretta può contenere due tipi di ACL: un DACL e un SACL.

Un elenco di controllo di accesso discrezionale (DACL) identifica i trustee autorizzati o negati l'accesso a un oggetto a protezione diretta. Quando un processo di tenta di accedere a un oggetto a protezione diretta, il sistema controlla gli ACL nell'ACL dell'oggetto per determinare se concedere l'accesso. Se l'oggetto non ha un DACL, il sistema concede l'accesso completo a tutti. Se il DACL dell'oggetto non dispone di ACL, il sistema nega tutti i tentativi di accesso all'oggetto perché l'elenco di controllo di accesso non consente alcun diritto di accesso. Il sistema controlla gli ACL in sequenza finché non trova uno o più ACL che consentono tutti i diritti di accesso richiesti o fino a quando non viene negato uno dei diritti di accesso richiesti. Per altre informazioni, vedere Modalità di controllo dell'accesso daCL a un oggetto. Per informazioni su come creare correttamente un daCL, vedere Creating a DACL.

Un elenco di controllo di accesso di sistema (SACL) consente agli amministratori di registrare i tentativi di accesso a un oggetto protetto. Ogni ACE specifica i tipi di tentativi di accesso da parte di un trustee specificato che causano la generazione di un record nel registro eventi di sicurezza. Un ace in un sacl può generare record di controllo quando un tentativo di accesso ha esito negativo, quando ha esito positivo o entrambi. Per altre informazioni sulle licenze SACL, vedere generazione di controlli e accesso SACL diritto di accesso.

Non provare a usare direttamente il contenuto di un elenco di controllo di accesso. Per assicurarsi che gli elenchi di controllo di accesso siano semanticamente corretti, usare le funzioni appropriate per creare e modificare gli elenchi di controllo di accesso. Per altre informazioni, vedere Recupero di informazioni da un ACL e Creazione o modifica di un elenco di controllo di accesso.

Gli elenchi di controllo di accesso forniscono anche il controllo di accesso agli oggetti del servizio Microsoft Active Directory. Active Directory Service Interfaces (ADSI) include routine per creare e modificare il contenuto di questi elenchi di controllo di accesso. Per altre informazioni, vedere Controllo dell'accesso agli oggetti in Servizi di dominio Active Directory.