Aracılığıyla paylaş

ACE Dizeleri

  • Makale

güvenlik tanımlayıcısı tanım dili (SDDL), bir güvenlik tanımlayıcısı dizesinin DACL ve SACL bileşenlerindeki ACE dizelerini kullanır.

Güvenlik Tanımlayıcısı Dize Biçimi örneklerinde gösterildiği gibi, bir güvenlik tanımlayıcısı dizesindeki her ACE parantez içine alınır. ACE alanları aşağıdaki sıradadır ve noktalı virgülle (;)) ayrılır.

Not

Koşullu erişim denetimi girdileri (ACL) diğer ACE türlerinden farklı bir biçime sahiptir. Koşullu ACL'ler için bkz. Koşullu ACL'ler için Güvenlik Tanımlayıcısı Tanım Dili.

ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)

Alanları

ace_type

ACE_HEADER yapısının AceType üyesinin değerini gösteren dize. ACE türü dizesi, Sddl.h dosyasında tanımlanan aşağıdaki dizelerden biri olabilir:

ACE tür dizesi Sddl.h sabiti AceType değeri
"A" SDDL_ACCESS_ALLOWED ACCESS_ALLOWED_ACE_TYPE
"D" SDDL_ACCESS_DENIED ACCESS_DENIED_ACE_TYPE
"OA" SDDL_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_OBJECT_ACE_TYPE
"OD" SDDL_OBJECT_ACCESS_DENIED ACCESS_DENIED_OBJECT_ACE_TYPE
"AU" SDDL_AUDIT SYSTEM_AUDIT_ACE_TYPE
"AL" SDDL_ALARM SYSTEM_ALARM_ACE_TYPE
"OU" SDDL_OBJECT_AUDIT SYSTEM_AUDIT_OBJECT_ACE_TYPE
"OL" SDDL_OBJECT_ALARM SYSTEM_ALARM_OBJECT_ACE_TYPE
"ML" SDDL_MANDATORY_LABEL SYSTEM_MANDATORY_LABEL_ACE_TYPE Windows Server 2003: Kullanılamıyor.
"XA" SDDL_CALLBACK_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.
"XD" SDDL_CALLBACK_ACCESS_DENIED ACCESS_DENIED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.
"RA" SDDL_RESOURCE_ATTRIBUTE SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.
"SP" SDDL_SCOPED_POLICY_ID SYSTEM_SCOPED_POLICY_ID_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.
"XU" SDDL_CALLBACK_AUDIT SYSTEM_AUDIT_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.
"ZA" SDDL_CALLBACK_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.
"TL" SDDL_PROCESS_TRUST_LABEL SYSTEM_PROCESS_TRUST_LABEL_ACE_TYPE Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamaz.
"FL" SDDL_ACCESS_FILTER SYSTEM_ACCESS_FILTER_ACE_TYPE Windows Server 2016, Windows 10 Sürüm 1607, Windows 10 Sürüm 1511, Windows 10 Sürüm 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamaz.

Not

ace_type ACCESS_ALLOWED_OBJECT_ACE_TYPE ve object_guid veya inherit_object_guidGUID belirtilmemişse, ConvertStringSecurityDescriptorToSecurityDescriptorace_type ACCESS_ALLOWED_ACE_TYPE dönüştürür.

ace_flags

ACE_HEADER yapısının AceFlags üyesinin değerini gösteren dize. ACE bayrakları dizesi, Sddl.h dosyasında tanımlanan aşağıdaki dizelerin birleştirilmiş hali olabilir:

ACE bayrakları dizesi Sddl.h sabiti AceFlag değeri
"CI" SDDL_CONTAINER_INHERIT CONTAINER_INHERIT_ACE
"OI" SDDL_OBJECT_INHERIT OBJECT_INHERIT_ACE
"NP" SDDL_NO_PROPAGATE NO_PROPAGATE_INHERIT_ACE
"GÇ" SDDL_INHERIT_ONLY INHERIT_ONLY_ACE
"Kimlik" SDDL_INHERITED INHERITED_ACE
"SA" SDDL_AUDIT_SUCCESS SUCCESSFUL_ACCESS_ACE_FLAG
"SK" SDDL_AUDIT_FAILURE FAILED_ACCESS_ACE_FLAG
"TP" SDDL_TRUST_PROTECTED_FILTER Windows Server 2016'yı TRUST_PROTECTED_FILTER_ACE_FLAG , Windows 10 Sürüm 1607, Windows 10 Sürüm 1511, Windows 10 Sürüm 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamaz.
"CR" SDDL_CRITICAL CRITICAL_ACE_FLAG Windows Server Sürüm 1803, Windows 10 Sürüm 1803, Windows Server Sürüm 1709, Windows 10 Sürüm 1709, Windows 10 Sürüm 1703, Windows Server 2016, Windows 10 Sürüm 1607, Windows 10 Sürüm 1511, Windows 10 Sürüm 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.

hakları

ACE tarafından denetlenen erişim haklarını gösteren bir dize. Bu dize, erişim haklarının "0x7800003F" gibi onaltılık bir dize gösterimi veya aşağıdaki dizelerin birleştirilmiş hali olabilir.

Genel erişim hakları

Erişim hakları dizesi Sddl.h sabiti Erişim hakkı değeri
"GA" SDDL_GENERIC_ALL GENERIC_ALL
"GR" SDDL_GENERIC_READ GENERIC_READ
"GW" SDDL_GENERIC_WRITE GENERIC_WRITE
"GX" SDDL_GENERIC_EXECUTE GENERIC_EXECUTE

Standart erişim hakları

Erişim hakları dizesi Sddl.h sabiti Erişim hakkı değeri
"RC" SDDL_READ_CONTROL READ_CONTROL
"SD" SDDL_STANDARD_DELETE SİLMEK
"WD" SDDL_WRITE_DAC WRITE_DAC
"WO" SDDL_WRITE_OWNER WRITE_OWNER

Dizin hizmeti nesnesi erişim hakları

Erişim hakları dizesi Sddl.h sabiti Erişim hakkı değeri
"RP" SDDL_READ_PROPERTY ADS_RIGHT_DS_READ_PROP
"WP" SDDL_WRITE_PROPERTY ADS_RIGHT_DS_WRITE_PROP
"CC" SDDL_CREATE_CHILD ADS_RIGHT_DS_CREATE_CHILD
"DC" SDDL_DELETE_CHILD ADS_RIGHT_DS_DELETE_CHILD
"LC" SDDL_LIST_CHILDREN ADS_RIGHT_ACTRL_DS_LIST
"SW" SDDL_SELF_WRITE ADS_RIGHT_DS_SELF
"LO" SDDL_LIST_OBJECT ADS_RIGHT_DS_LIST_OBJECT
"DT" SDDL_DELETE_TREE ADS_RIGHT_DS_DELETE_TREE
"CR" SDDL_CONTROL_ACCESS ADS_RIGHT_DS_CONTROL_ACCESS

Dosya erişim hakları

Erişim hakları dizesi Sddl.h sabiti Erişim hakkı değeri
"SK" SDDL_FILE_ALL FILE_GENERIC_ALL
"FR" SDDL_FILE_READ FILE_GENERIC_READ
"FW" SDDL_FILE_WRITE FILE_GENERIC_WRITE
"FX" SDDL_FILE_EXECUTE FILE_GENERIC_EXECUTE

Kayıt defteri anahtarı erişim hakları

Erişim hakları dizesi Sddl.h sabiti Erişim hakkı değeri
"KA" SDDL_KEY_ALL KEY_ALL_ACCESS
"KR" SDDL_KEY_READ KEY_READ
"KW" SDDL_KEY_WRITE KEY_WRITE
"KX" SDDL_KEY_EXECUTE KEY_EXECUTE

Zorunlu etiket hakları

Erişim hakları dizesi Sddl.h sabiti Erişim hakkı değeri
"NR" SDDL_NO_READ_UP SYSTEM_MANDATORY_LABEL_NO_READ_UP Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.
"NW" SDDL_NO_WRITE_UP SYSTEM_MANDATORY_LABEL_NO_WRITE_UP Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.
"NX" SDDL_NO_EXECUTE_UP SYSTEM_MANDATORY_LABEL_NO_EXECUTE_UP Windows Server 2008, Windows Vista ve Windows Server 2003: Kullanılamıyor.

object_guid

ACCESS_ALLOWED_OBJECT_ACEgibi nesneye özgü bir ACE yapısının ObjectType üyesinin değerini gösteren bir GUID'nin dize gösterimi. GUID dizesi, UuidToString işlevi tarafından döndürülen biçimi kullanır.

Aşağıdaki tabloda yaygın olarak kullanılan bazı nesne GUID'leri listelenir:

Haklar ve GUID İzin
CR; ab721a53-1e2f-11d0-9819-00aa0040529b Parolayı değiştir
CR; 00299570-246d-11d0-a768-00aa006e0529 Parolayı sıfırla

inherit_object_guid

Nesneye özgü ACE yapısının InheritedObjectType üyesinin değerini gösteren bir GUID'nin dize gösterimi. GUID dizesi UuidToString biçimini kullanır.

account_sid

ACE'nin güveneni tanımlayan SID dizesi.

resource_attribute

[İSTEĞE BAĞLı] resource_attribute yalnızca kaynak ACL'leri içindir ve isteğe bağlıdır. Veri türünü gösteren bir dize. Kaynak özniteliği ace veri türü, Sddl.h dosyasında tanımlanan aşağıdaki veri türlerinden biri olabilir.

"#" işareti, kaynak özniteliklerinde "0" ile eş anlamlıdır. Örneğin, D:AI(XA; OICI;FA;;; Beyaz cüce; (OctetStringType==#1#2#3##)) D:AI(XA; OICI;FA;;; Beyaz cüce; (OctetStringType==#01020300)).

Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista ve Windows Server 2003: Kaynak öznitelikleri kullanılamaz.

Kaynak özniteliği ace veri türü dizesi Sddl.h sabiti Veri tipi
"TI" SDDL_INT İmzalı tamsayı
"TU" SDDL_UINT İşaretsiz tamsayı
"TS" SDDL_WSTRING Geniş dize
"TD" SDDL_SID SID
"TX" SDDL_BLOB Sekizli dize
"TB" SDDL_BOOLEAN Boolean

Aşağıdaki örnekte erişim izni verilen ace için bir ACE dizesi gösterilmektedir. Nesneye özgü bir ACE olmadığından object_guid ve inherit_object_guid alanlarında bilgi yoktur. ace_flags alanı da boş olduğundan ACE bayraklarından hiçbirinin ayarlanmadı.

(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-1-0)

Yukarıda gösterilen ACE dizesi aşağıdaki ACE bilgilerini açıklar.

AceType:       0x00 (ACCESS_ALLOWED_ACE_TYPE)
AceFlags:      0x00
Access Mask:   0x100e003f
                    READ_CONTROL
                    WRITE_DAC
                    WRITE_OWNER
                    GENERIC_ALL
                    Other access rights(0x0000003f)
Ace Sid      : (S-1-1-0)

Aşağıdaki örnekte, Windows için kaynak talepleri ile sınıflandırılmış bir dosya ve Gizlilik Yüksek İş Etkisi olarak ayarlanmış Yapılandırılmış Sorgu Dili (SQL) gösterilmektedir.

(RA;CI;;;;S-1-1-0; ("Project",TS,0,"Windows","SQL")) 
(RA;CI;;;;S-1-1-0; ("Secrecy",TU,0,3))

Yukarıda gösterilen ACE dizesi aşağıdaki ACE bilgilerini açıklar.

AceType:       0x12 (SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE)
AceFlags:      0x1  (SDDL_CONTAINER_INHERIT)
Access Mask:   0x0
Ace Sid      : (S-1-1-0)
Resource Attributes: Project has the strings Windows and SQL, Secrecy has the unsigned int value of 3

Daha fazla bilgi için bkz. Güvenlik Tanımlayıcısı Dize Biçimi ve SID Dizeleri. Koşullu ACL'ler için bkz. Koşullu ACL'ler için Güvenlik Tanımlayıcısı Tanım Dili.

Ayrıca bkz.

[MS-DTYP]: Güvenlik Tanımlayıcısı Açıklama Dili