Dela via

ACE-strängar

  • Artikel

SDDL (security descriptor definition language) använder ACE-strängar i DACL- och SACL-komponenterna i en säkerhetsbeskrivning sträng.

Som du ser i Security Descriptor String Format exempel, omges varje ACE i en säkerhetsbeskrivningssträng inom parenteser. Fälten i ACE är i följande ordning och avgränsas med semikolon (;).

Not

Villkorsstyrda åtkomstkontrollposter (ACL) har ett annat format än andra ACE-typer. För villkorsstyrda ACL:er, se Security Descriptor Definition Language for Conditional ACEs.

ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)

Fält

ace_type

En sträng som anger värdet för AceType medlem i ACE_HEADER struktur. ACE-typsträngen kan vara en av följande strängar som definierats i Sddl.h:

ACE-typsträng Konstant i Sddl.h AceType-värde
"A" SDDL_ACCESS_ALLOWED ACCESS_ALLOWED_ACE_TYPE
"D" SDDL_ACCESS_DENIED ACCESS_DENIED_ACE_TYPE
"OA" SDDL_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_OBJECT_ACE_TYPE
"OD" SDDL_OBJECT_ACCESS_DENIED ACCESS_DENIED_OBJECT_ACE_TYPE
"AU" SDDL_AUDIT SYSTEM_AUDIT_ACE_TYPE
"AL" SDDL_ALARM SYSTEM_ALARM_ACE_TYPE
"OU" SDDL_OBJECT_AUDIT SYSTEM_AUDIT_OBJECT_ACE_TYPE
"OL" SDDL_OBJECT_ALARM SYSTEM_ALARM_OBJECT_ACE_TYPE
"ML" SDDL_MANDATORY_LABEL SYSTEM_MANDATORY_LABEL_ACE_TYPE Windows Server 2003: Inte tillgänglig.
"XA" SDDL_CALLBACK_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgänglig.
"XD" SDDL_CALLBACK_ACCESS_DENIED ACCESS_DENIED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.
"RA" SDDL_RESOURCE_ATTRIBUTE SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.
"SP" SDDL_SCOPED_POLICY_ID SYSTEM_SCOPED_POLICY_ID_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.
"XU" SDDL_CALLBACK_AUDIT SYSTEM_AUDIT_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.
"ZA" SDDL_CALLBACK_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.
"TL" SDDL_PROCESS_TRUST_LABEL SYSTEM_PROCESS_TRUST_LABEL_ACE_TYPE Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.
"FL" SDDL_ACCESS_FILTER SYSTEM_ACCESS_FILTER_ACE_TYPE Windows Server 2016, Windows 10 Version 1607, Windows 10 Version 1511, Windows 10 Version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.

Not

Om ace_type är ACCESS_ALLOWED_OBJECT_ACE_TYPE och varken object_guid eller inherit_object_guid har en GUID- angiven, konverterar ConvertStringSecurityDescriptorToSecurityDescriptorace_type till ACCESS_ALLOWED_ACE_TYPE.

ace_flags

En sträng som anger värdet för AceFlags medlem i ACE_HEADER struktur. ACE-flaggornas sträng kan vara en sammanlänkning av följande strängar som definierats i Sddl.h:

ACE-flaggor sträng Konstant i Sddl.h AceFlag-värde
"CI" SDDL_CONTAINER_INHERIT CONTAINER_INHERIT_ACE
"OI" SDDL_OBJECT_INHERIT OBJECT_INHERIT_ACE
"NP" SDDL_NO_PROPAGATE NO_PROPAGATE_INHERIT_ACE
"I/O" SDDL_INHERIT_ONLY INHERIT_ONLY_ACE
"ID" SDDL_INHERITED INHERITED_ACE
"SA" SDDL_AUDIT_SUCCESS SUCCESSFUL_ACCESS_ACE_FLAG
"FA" SDDL_AUDIT_FAILURE FAILED_ACCESS_ACE_FLAG
"TP" SDDL_TRUST_PROTECTED_FILTER TRUST_PROTECTED_FILTER_ACE_FLAG Windows Server 2016, Windows 10 Version 1607, Windows 10 Version 1511, Windows 10 Version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.
"CR" SDDL_CRITICAL CRITICAL_ACE_FLAG Windows Server version 1803, Windows 10 version 1803, Windows Server version 1709, Windows 10 Version 1709, Windows 10 Version 1703, Windows Server 2016, Windows 10 Version 1607, Windows 10 Version 1511, Windows 10 Version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.

rättigheter

En sträng som anger åtkomsträttigheter styrs av ACE. Den här strängen kan vara en hexadecimal strängrepresentation av åtkomsträttigheterna, till exempel "0x7800003F", eller så kan det vara en sammanlänkning av följande strängar.

Allmänna åtkomsträttigheter

Åtkomstbehörighetssträng Konstant i Sddl.h Åtkomsträtt värde
"GA" SDDL_GENERIC_ALL GENERIC_ALL
"GR" SDDL_GENERIC_READ GENERIC_READ
"GW" SDDL_GENERIC_WRITE GENERIC_WRITE
"GX" SDDL_GENERIC_EXECUTE GENERIC_EXECUTE

Standardåtkomsträttigheter

Åtkomstbehörighetssträng Konstant i Sddl.h Åtkomsträtt värde
"RC" SDDL_READ_CONTROL READ_CONTROL
"SD" SDDL_STANDARD_DELETE TA BORT
"WD" SDDL_WRITE_DAC WRITE_DAC
"WO" SDDL_WRITE_OWNER WRITE_OWNER

Åtkomsträttigheter för katalogtjänstobjekt

Åtkomstbehörighetssträng Konstant i Sddl.h Åtkomsträtt värde
"RP" SDDL_READ_PROPERTY ADS_RIGHT_DS_READ_PROP
"WP" SDDL_WRITE_PROPERTY ADS_RIGHT_DS_WRITE_PROP
"CC" SDDL_CREATE_CHILD ADS_RIGHT_DS_CREATE_CHILD
"DC" SDDL_DELETE_CHILD ADS_RIGHT_DS_DELETE_CHILD
"LC" SDDL_LIST_CHILDREN ADS_RIGHT_ACTRL_DS_LIST
"SW" SDDL_SELF_WRITE ADS_RIGHT_DS_SELF
"LO" SDDL_LIST_OBJECT ADS_RIGHT_DS_LIST_OBJECT
"DT" SDDL_DELETE_TREE ADS_RIGHT_DS_DELETE_TREE
"CR" SDDL_CONTROL_ACCESS ADS_RIGHT_DS_CONTROL_ACCESS

Behörigheter för filåtkomst

Åtkomstbehörighetssträng Konstant i Sddl.h Åtkomsträtt värde
"FA" SDDL_FILE_ALL FILE_GENERIC_ALL
"FR" SDDL_FILE_READ FILE_GENERIC_READ
"FW" SDDL_FILE_WRITE FILE_GENERIC_WRITE
"FX" SDDL_FILE_EXECUTE FILE_GENERIC_EXECUTE

Åtkomstbehörigheter för registernyckel

Åtkomstbehörighetssträng Konstant i Sddl.h Åtkomsträtt värde
"KA" SDDL_KEY_ALL KEY_ALL_ACCESS
"KR" SDDL_KEY_READ KEY_READ
"KW" SDDL_KEY_WRITE KEY_WRITE
"KX" SDDL_KEY_EXECUTE KEY_EXECUTE

Obligatoriska etiketträttigheter

Åtkomstbehörighetssträng Konstant i Sddl.h Åtkomsträtt värde
"NR" SDDL_NO_READ_UP SYSTEM_MANDATORY_LABEL_NO_READ_UP Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgängligt.
"NW" SDDL_NO_WRITE_UP SYSTEM_MANDATORY_LABEL_NO_WRITE_UP Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgänglig.
"NX" SDDL_NO_EXECUTE_UP SYSTEM_MANDATORY_LABEL_NO_EXECUTE_UP Windows Server 2008, Windows Vista och Windows Server 2003: Inte tillgänglig.

object_guid

En strängrepresentation av ett GUID som anger värdet för ObjectType medlem i en objektspecifik ACE-struktur, till exempel ACCESS_ALLOWED_OBJECT_ACE. GUID-strängen använder formatet som returneras av funktionen UuidToString.

I följande tabell visas några vanliga objekt-GUID:er:

Rättigheter och GUID Tillåtelse
HP; ab721a53-1e2f-11d0-9819-00aa0040529b Ändra lösenord
HP; 00299570-246d-11d0-a768-00aa006e0529 Återställa lösenord

inherit_object_guid

En strängrepresentation av ett GUID som anger värdet för InheritedObjectType medlem i en objektspecifik ACE-struktur. GUID-strängen använder formatet UuidToString.

account_sid

SID-sträng som identifierar -förvaltarens för ACE.

resource_attribute

[VALFRITT] Den resource_attribute är endast för resurs-ACL:er och är valfri. En sträng som anger datatypen. Resursattributets datatyp kan vara en av följande datatyper som definierats i Sddl.h.

Tecknet "#" är synonymt med "0" i resursattribut. Till exempel D:AI(XA; OICI;FA;;; Vit dvärg; (OctetStringType==#1#2#3##)) motsvarar och tolkas som D:AI(XA; OICI;FA;;; Vit dvärg; (OctetStringType==#01020300)).

Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista och Windows Server 2003: Resursattribut är inte tillgängliga.

Resursattribut för datatypssträng Konstant i Sddl.h Datatyp
"TI" SDDL_INT Signerat heltal
"TU" SDDL_UINT Osignerat heltal
"TS" SDDL_WSTRING Bred sträng
"TD" SDDL_SID SID
"TX" SDDL_BLOB Oktettsträng
"TB" SDDL_BOOLEAN Boolesk

I följande exempel visas en ACE-sträng för ett åtkomstbefriat ACE. Det är inte ett objektspecifikt ACE, så det har ingen information i fälten object_guid och inherit_object_guid. Fältet ace_flags är också tomt, vilket indikerar att ingen av ACE-flaggorna har angetts.

(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-1-0)

ACE-strängen som visas ovan beskriver följande ACE-information.

AceType:       0x00 (ACCESS_ALLOWED_ACE_TYPE)
AceFlags:      0x00
Access Mask:   0x100e003f
                    READ_CONTROL
                    WRITE_DAC
                    WRITE_OWNER
                    GENERIC_ALL
                    Other access rights(0x0000003f)
Ace Sid      : (S-1-1-0)

I följande exempel visas en fil som klassificerats med resursanspråk för Windows och Structured Query Language (SQL) med sekretess inställd på Hög affärspåverkan.

(RA;CI;;;;S-1-1-0; ("Project",TS,0,"Windows","SQL")) 
(RA;CI;;;;S-1-1-0; ("Secrecy",TU,0,3))

ACE-strängen som visas ovan beskriver följande ACE-information.

AceType:       0x12 (SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE)
AceFlags:      0x1  (SDDL_CONTAINER_INHERIT)
Access Mask:   0x0
Ace Sid      : (S-1-1-0)
Resource Attributes: Project has the strings Windows and SQL, Secrecy has the unsigned int value of 3

Mer information finns i Security Descriptor String Format and SID Strings. För villkorsstyrda ACL:er, se Security Descriptor Definition Language for Conditional ACEs.

Se även

[MS-DTYP]: Språk för beskrivning av säkerhetsbeskrivning