Поделиться через

Списки управления доступом

  • Статья

Список управления доступом (ACL) — это список записей управления доступом (ACE). Каждый ACE в ACL определяет доверенного лица и указывает права доступа разрешены, отклонены или проверены для этого доверенного лица. Дескриптор безопасности для защищаемого объекта может содержать два типа ACL: DACL и SACL.

списке управления доступом (DACL) определяет доверенных лиц, которым разрешен или запрещен доступ к защищаемому объекту. Когда процесс пытается получить доступ к защищаемому объекту, система проверяет acES в DACL объекта, чтобы определить, следует ли предоставлять к нему доступ. Если объект не имеет DACL, система предоставляет полный доступ всем пользователям. Если daCL объекта не имеет ACL, система запрещает все попытки доступа к объекту, так как DACL не разрешает какие-либо права доступа. Система проверяет acEs в последовательности до тех пор, пока не будет найдено одно или несколько acEs, которые разрешают все запрошенные права доступа или до тех пор, пока какие-либо из запрошенных прав доступа не будут отклонены. Дополнительные сведения см. в статье Управление доступом к объекту. Сведения о том, как правильно создать DACL, см. в созданииDACL.

системный список управления доступом (SACL) позволяет администраторам регистрировать попытки доступа к защищенному объекту. Каждый ACE указывает типы попыток доступа указанным доверенным лицом, которые вызывают создание системы записи в журнале событий безопасности. ACE в SACL может создавать записи аудита при сбое попытки доступа, когда она завершается успешно или оба. Дополнительные сведения об SACCl см. в создании аудита и права доступа к SACL.

Не пытайтесь работать непосредственно с содержимым ACL. Чтобы обеспечить семантику правильность списков управления доступом, используйте соответствующие функции для создания списков управления доступом и управления ими. Дополнительные сведения см. в статье Получение сведений из ACL и создание или изменениеACL.

Списки управления доступом также обеспечивают управление доступом к объектам службы Microsoft Active Directory. Интерфейсы служб Active Directory (ADSI) включают подпрограммы для создания и изменения содержимого этих списков управления доступом. Дополнительные сведения см. в управлении доступом к объектам в доменных службах Active Directory.