Dela via

Åtkomstkontrollistor

  • Artikel

En åtkomstkontrollista (ACL) är en lista över åtkomstkontrollposter (ACE). Varje ACE i en ACL identifierar en förvaltare och anger åtkomsträttigheter tillåts, nekas eller granskas för den förvaltaren. säkerhetsbeskrivning för ett skyddsbart objekt kan innehålla två typer av ACL:er: en DACL- och en SACL-.

En diskretionär åtkomstkontrolllista (DACL) identifierar de förvaltare som tillåts eller nekas åtkomst till ett skyddsbart objekt. När en process försöker komma åt ett skyddsbart objekt kontrollerar systemet ACL:erna i objektets DACL för att avgöra om åtkomst ska beviljas till det. Om objektet inte har en DACL ger systemet fullständig åtkomst till alla. Om objektets DACL inte har några ACL:er nekar systemet alla försök att komma åt objektet eftersom DACL inte tillåter några åtkomsträttigheter. Systemet kontrollerar ACL:erna i ordning tills det hittar en eller flera ACL:er som tillåter alla begärda åtkomsträttigheter eller tills någon av de begärda åtkomsträttigheterna nekas. Mer information finns i How DACLs control access to an object. Information om hur du skapar en DACL finns i Skapa en DACL-.

Med en lista över systemåtkomstkontroll (SACL) kan administratörer logga försök att komma åt ett skyddat objekt. Varje ACE anger vilka typer av åtkomstförsök som görs av en angiven förvaltare som gör att systemet genererar en post i säkerhetshändelseloggen. Ett ACE i en SACL kan generera granskningsposter när ett åtkomstförsök misslyckas, när det lyckas eller både och. Mer information om SACL:er finns i Granskningsgenerering och SACL-åtkomsträtt.

Försök inte att arbeta direkt med innehållet i en ACL. För att säkerställa att ACL:er är semantiskt korrekta använder du lämpliga funktioner för att skapa och manipulera ACL:er. Mer information finns i Hämta information från en ACL- och Skapa eller ändra en ACL-.

ACL:er ger också åtkomstkontroll till Microsoft Active Directory-tjänstobjekt. Active Directory Service Interfaces (ADSI) innehåller rutiner för att skapa och ändra innehållet i dessa ACL:er. Mer information finns i Kontrollera objektåtkomst i Active Directory Domain Services.