ASE para controlar el acceso a las propiedades de un objeto
La lista de control de acceso discrecional (DACL) de un objeto de servicio de directorio (DS) puede contener una jerarquía de entradas de control de acceso (ACE), como se indica a continuación:
- ASE que protegen el propio objeto
- ASE específicos del objeto que protegen una propiedad especificada establecida en el objeto
- ASE específicos del objeto que protegen una propiedad especificada en el objeto
Dentro de esta jerarquía, los derechos concedidos o denegados en un nivel superior también se aplican a los niveles inferiores. Por ejemplo, si una ACE específica del objeto en un conjunto de propiedades permite a un administrador el derecho de ADS_RIGHT_DS_READ_PROP, el administrador tiene acceso de lectura implícito a todas las propiedades de ese conjunto de propiedades. Del mismo modo, una ACE en el propio objeto que permite ADS_RIGHT_DS_READ_PROP acceso proporciona al administrador acceso de lectura a todas las propiedades del objeto.
En la ilustración siguiente se muestra el árbol de un objeto DS hipotético y sus conjuntos de propiedades y propiedades.
Supongamos que desea permitir el siguiente acceso a las propiedades de este objeto DS:
- Permitir el permiso de lectura y escritura de grupo A en todas las propiedades del objeto
- Permitir a todos los demás permisos de lectura y escritura en todas las propiedades excepto propiedad D
Para ello, establezca los ACA en la DACL del objeto como se muestra en la tabla siguiente.
Fideicomisario | GUID de objeto | Tipo ACE | Derechos de acceso |
---|---|---|---|
Grupo A | Ninguna | ACE permitida por el acceso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
Todos | Conjunto de propiedades 1 | ACE de objeto permitido de acceso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
Todos | Propiedad C | ACE de objeto permitido de acceso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
La ACE para el grupo A no tiene un GUID de objeto, lo que significa que permite el acceso a todas las propiedades del objeto. La ACE específica del objeto para el conjunto de propiedades 1 permite a todos los usuarios acceder a las propiedades A y B. La otra ACE específica del objeto permite a todos los usuarios acceder a la propiedad C. Tenga en cuenta que, aunque esta DACL no tiene acceso denegado de acceso, deniega implícitamente el acceso de propiedad D a todos excepto al grupo A.
Cuando un usuario intenta obtener acceso a la propiedad de un objeto, el sistema comprueba las ACE, en orden, hasta que el acceso solicitado se conceda explícitamente, deniegue o no haya más ACE, en cuyo caso, el acceso se deniega implícitamente.
El sistema evalúa:
- ASE que se aplican al propio objeto
- ASE específicos del objeto que se aplican al conjunto de propiedades que contiene la propiedad a la que se accede
- ACL específicas del objeto que se aplican a la propiedad a la que se accede
El sistema omite los ASE específicos del objeto que se aplican a otros conjuntos de propiedades o propiedades.