Delen via

Toegangsbeheerlijsten

  • Artikel

Een toegangsbeheerlijst (ACL) is een lijst met vermeldingen voor toegangsbeheer (ACE). Elke ACE in een ACL identificeert een beheerder en geeft de toegangsrechten op toegestaan, geweigerd of gecontroleerd voor die beheerder. De beveiligingsdescriptor voor een beveiligbaar object kan twee typen ACL's bevatten: een DACL- en een SACL-.

Een discretionaire toegangsbeheerlijst (DACL) identificeert de beheerders die toegang tot een beveiligbaar object hebben toegestaan of geweigerd. Wanneer een proces probeert toegang te krijgen tot een beveiligbaar object, controleert het systeem de ACL's in de DACL van het object om te bepalen of toegang tot het object moet worden verleend. Als het object geen DACL heeft, verleent het systeem volledige toegang tot iedereen. Als de DACL van het object geen ACL's heeft, weigert het systeem alle pogingen om toegang te krijgen tot het object omdat de DACL geen toegangsrechten toestaat. Het systeem controleert de ACL's op volgorde totdat een of meer ACL's worden gevonden die alle aangevraagde toegangsrechten toestaan of totdat een van de aangevraagde toegangsrechten wordt geweigerd. Zie Hoe DACL's de toegang tot een object beherenvoor meer informatie. Zie Een DACL makenvoor meer informatie over het correct maken van een DACL.

Met een systeemtoegangsbeheerlijst (SACL) kunnen beheerders pogingen registreren om toegang te krijgen tot een beveiligd object. Elke ACE geeft de typen toegangspogingen op door een opgegeven beheerder die ervoor zorgt dat het systeem een record genereert in het gebeurtenislogboek van de beveiliging. Een ACE in een SACL kan controlerecords genereren wanneer een toegangspoging mislukt, wanneer deze slaagt of beide. Zie voor meer informatie over SACL's genereren en SACL-toegangsrechten.

Probeer niet rechtstreeks met de inhoud van een ACL te werken. Als u ervoor wilt zorgen dat ACL's s semantisch correct zijn, gebruikt u de juiste functies om ACL's te maken en te bewerken. Zie Informatie ophalen van een ACL- en Een ACL-maken of wijzigen voor meer informatie.

ACL's bieden ook toegangsbeheer voor Microsoft Active Directory-serviceobjecten. Active Directory Service Interfaces (ADSI) bevatten routines voor het maken en wijzigen van de inhoud van deze ACL's. Zie Objecttoegang beheren in Active Directory Domain Servicesvoor meer informatie.