次の方法で共有

アクセス制御リスト

  • [アーティクル]

アクセス制御リスト (ACL) は、アクセス制御エントリ (ACE) リストです。 ACL 内の各 ACE は、トラスティ を識別し、そのトラスティに対して許可、拒否、または監査 アクセス権を指定します。 セキュリティ保護可能なオブジェクトセキュリティ記述子 には、DACLSACLの 2 種類の ACL を含めることができます。

随意アクセス制御リスト (DACL) は、セキュリティ保護可能なオブジェクトへのアクセスが許可または拒否されているトラスティを識別します。 プロセス セキュリティ保護可能なオブジェクトへのアクセスを試みると、システムはオブジェクトの DACL 内の ACE を調べて、アクセス権を付与するかどうかを判断します。 オブジェクトに DACL がない場合、システムはすべてのユーザーにフル アクセスを許可します。 オブジェクトの DACL に ACE がない場合、DACL ではアクセス権が許可されないため、オブジェクトへのアクセスの試行がすべて拒否されます。 システムは、要求されたすべてのアクセス権を許可する 1 つ以上の ACE を見つけるか、要求されたアクセス権のいずれかが拒否されるまで、ACE を順番にチェックします。 詳細については、「DCL がオブジェクトへのアクセスを制御する方法」を参照してください。 DACL を適切に作成する方法については、「DACLの作成」を参照してください。

システム アクセス制御リスト (SACL) を使用すると、管理者はセキュリティで保護されたオブジェクトへのアクセス試行をログに記録できます。 各 ACE は、指定されたトラスティによるアクセス試行の種類を指定します。これにより、システムはセキュリティ イベント ログにレコードを生成します。 SACL の ACE は、アクセス試行が失敗したとき、成功した場合、またはその両方で監査レコードを生成できます。 SACL の詳細については、「Audit generation」および「SACL access right」を参照してください。

ACL の内容を直接操作しないでください。 ACL が意味的に正しいことを確認するには、適切な関数を使用して ACL を作成および操作します。 詳細については、「ACL からの情報の取得と、ACL の作成または変更を参照してください。

ACL は、Microsoft Active Directory サービス オブジェクトへのアクセス制御も提供します。 Active Directory サービス インターフェイス (ADSI) には、これらの ACL の内容を作成および変更するためのルーチンが含まれています。 詳細については、「Active Directory Domain Servicesでのオブジェクト アクセスの制御」を参照してください。