Zugriffssteuerungslisten
Eine Zugriffssteuerungsliste (Access Control List, ACL) ist eine Liste von Zugriffssteuerungseinträgen (Access Control Entries, ACE). Jeder ACE in einer ACL bezeichnet einen Vertrauensnehmer und gibt die Zugriffsrechte an, die dem Vertrauensnehmer gewährt, verweigert oder im Hinblick auf den Vertrauensnehmer überwacht werden. Die Sicherheitsbeschreibung für ein sicherungsfähiges Objekt kann zwei Arten von ACLs enthalten: eine DACL und eine SACL.
Eine diskretionäre Zugriffssteuerungsliste (Discretionary Access Control List , DACL) identifiziert die Trustees, denen der Zugriff auf ein sicherungsfähiges Objekt erlaubt oder verweigert wird. Wenn ein Prozess versucht, auf ein sicherungsfähiges Objekt zuzugreifen, überprüft das System die ACEs in der DACL des Objekts, um zu ermitteln, ob der Zugriff darauf gewährt werden soll. Wenn das Objekt nicht über eine DACL verfügt, gewährt das System allen Benutzern vollen Zugriff. Wenn die DACL des Objekts über keine ACEs verfügt, verweigert das System alle Zugriffsversuche auf das Objekt, da die DACL keine Zugriffsrechte zulässt. Das System überprüft die ACEs nacheinander, bis ein oder mehrere ACEs gefunden werden, die alle angeforderten Zugriffsrechte zulassen, oder bis eine der angeforderten Zugriffsrechte verweigert wird. Weitere Informationen finden Sie unter Steuern des Zugriffs auf ein Objekt durch DACLs. Informationen zum ordnungsgemäßen Erstellen einer DACL finden Sie unter Erstellen einer DACL.
Mit einer Systemzugriffssteuerungsliste (System Access Control List , SACL) können Administratoren Zugriffsversuche auf ein geschütztes Objekt protokollieren. Jede ACE gibt die Arten von Zugriffsversuchen eines angegebenen Treuhänders an, die dazu führen, dass das System einen Datensatz im Sicherheitsereignisprotokoll generiert. Ein ACE in einer SACL kann Überwachungsdatensätze generieren, wenn ein Zugriffsversuch fehlschlägt, wenn er erfolgreich ist, oder beides. Weitere Informationen zu SACLs finden Sie unter Überwachungsgenerierung und SACL-Zugriffsrecht.
Versuchen Sie nicht, direkt mit dem Inhalt einer ACL zu arbeiten. Um sicherzustellen, dass ACLs semantisch korrekt sind, verwenden Sie die entsprechenden Funktionen, um ACLs zu erstellen und zu bearbeiten. Weitere Informationen finden Sie unter Abrufen von Informationen aus einer ACL und Erstellen oder Ändern einer ACL.
ACLs bieten auch Zugriffssteuerung für Microsoft Active Directory-Dienstobjekte. Active Directory Service Interfaces (ADSI) enthalten Routinen zum Erstellen und Ändern des Inhalts dieser ACLs. Weitere Informationen finden Sie unter Steuern des Objektzugriffs in Active Directory Domain Services.