Udostępnij za pośrednictwem

Listy kontroli dostępu

  • Artykuł

Lista listy kontroli dostępu (ACL) to lista wpisów kontroli dostępu (ACE). Każda usługa ACE w liście ACL identyfikuje zaufania i określa prawa dostępu dozwolone, odrzucone lub poddane inspekcji dla tego zaufania. Deskryptor zabezpieczeń dla zabezpieczanego obiektu może zawierać dwa typy list ACL: DACL i SACL.

Lista kontroli dostępu uznaniowa (DACL) identyfikuje zaufania, które są dozwolone lub odmawiane dostępu do zabezpieczanego obiektu. Gdy proces próbuje uzyskać dostęp do zabezpieczanego obiektu, system sprawdza elementy KONTROLI dostępu w kontrolce DACL obiektu, aby określić, czy udzielić mu dostępu. Jeśli obiekt nie ma listy DACL, system udziela pełnego dostępu wszystkim. Jeśli lista DACL obiektu nie ma list ACL, system odrzuca wszystkie próby uzyskania dostępu do obiektu, ponieważ lista DACL nie zezwala na żadne prawa dostępu. System sprawdza elementy ACL w sekwencji, dopóki nie znajdzie co najmniej jednego konta ACL, które zezwalają na wszystkie żądane prawa dostępu lub dopóki dowolny z żądanych praw dostępu nie zostanie odrzucony. Aby uzyskać więcej informacji, zobacz How DACLs control access to an object. Aby uzyskać informacje na temat prawidłowego tworzenia listy DACL, zobacz Tworzenie listy DACL.

Lista kontroli dostępu systemu (SACL) umożliwia administratorom rejestrowanie prób uzyskania dostępu do zabezpieczonego obiektu. Każda ACE określa typy prób dostępu określonego zaufania, które powodują wygenerowanie rekordu w dzienniku zdarzeń zabezpieczeń przez system. ACE w SACL może generować rekordy inspekcji, gdy próba dostępu zakończy się niepowodzeniem, gdy zakończy się powodzeniem lub oba te elementy. Aby uzyskać więcej informacji na temat sacls, zobacz Audit generation and SACL access right.

Nie próbuj pracować bezpośrednio z zawartością listy ACL. Aby upewnić się, że listy ACL są semantycznie poprawne, użyj odpowiednich funkcji do tworzenia list ACL i manipulowania nimi. Aby uzyskać więcej informacji, zobacz Uzyskiwanie informacji z listy ACL i Tworzenie lub modyfikowanie listy ACL.

Listy ACL zapewniają również kontrolę dostępu do obiektów usługi Microsoft Active Directory. Interfejsy usługi Active Directory (ADSI) obejmują procedury tworzenia i modyfikowania zawartości tych list ACL. Aby uzyskać więcej informacji, zobacz Kontrolowanie dostępu do obiektów w usługach Active Directory Domain Services.