通过

访问控制列表

  • 项目

访问控制列表(ACL)是 访问控制项(ACE)的列表。 ACL 中的每个 ACE 标识 受托人,并指定 允许、拒绝或审核该受托人的 访问权限。 安全 对象的 安全描述符 可以包含两种类型的 ACL:DACLSACL

自由访问控制列表(DACL)标识允许或拒绝访问安全对象的受托人。 当 进程 尝试访问安全对象时,系统将检查对象的 DACL 中的 ACE,以确定是否向其授予访问权限。 如果该对象没有 DACL,则系统会向所有人授予完全访问权限。 如果对象的 DACL 没有 ACE,系统将拒绝所有访问该对象的尝试,因为 DACL 不允许任何访问权限。 系统按顺序检查 ACE,直到找到一个或多个允许所有请求的访问权限的 ACE,或直到任何请求的访问权限被拒绝为止。 有关详细信息,请参阅 DACL 如何控制对对象的访问。 有关如何正确创建 DACL 的信息,请参阅 创建 DACL

系统访问控制列表(SACL)允许管理员记录访问安全对象的尝试。 每个 ACE 指定指定的受托人尝试的访问尝试类型,这些尝试导致系统在安全事件日志中生成记录。 SACL 中的 ACE 可以在访问尝试失败、成功或两者兼有时生成审核记录。 有关 SCL 的详细信息,请参阅 审核生成SACL 访问权限

请勿尝试直接处理 ACL 的内容。 若要确保 ACL 在语义上正确,请使用相应的函数来创建和作 ACL。 有关详细信息,请参阅 从 ACL 获取信息,并 创建或修改 ACL

ACL 还提供对 Microsoft Active Directory 服务对象的访问控制。 Active Directory 服务接口(ADSI)包括用于创建和修改这些 ACL 内容的例程。 有关详细信息,请参阅 控制 Active Directory 域服务中的对象访问。