Listas de control de acceso

Una lista de control de acceso (ACL) es una lista de entradas de control de acceso (ACE). Cada ACE de una ACL identifica a un usuario de confianza y especifica los derechos de acceso concedidos, denegados o auditados para dicho usuario. El descriptor de seguridad de un objeto protegible puede contener dos tipos de ACL: DACL y SACL.

Una lista de control de acceso discrecional (DACL) identifica a los administradores que se permiten o deniegan el acceso a un objeto protegible. Cuando un proceso intenta acceder a un objeto protegible, el sistema comprueba los ACA en la DACL del objeto para determinar si se va a conceder acceso a él. Si el objeto no tiene una DACL, el sistema concede acceso total a todos los usuarios. Si la DACL del objeto no tiene ACE, el sistema deniega todos los intentos de acceder al objeto porque la DACL no permite ningún derecho de acceso. El sistema comprueba los ASE en secuencia hasta que encuentre uno o varios ACE que permitan todos los derechos de acceso solicitados, o hasta que se deniegue cualquiera de los derechos de acceso solicitados. Para obtener más información, vea Cómo controlan los DACL el acceso a un objeto. Para obtener información sobre cómo crear correctamente una DACL, consulte Creación de una DACL.

Una lista de control de acceso del sistema (SACL) permite a los administradores registrar intentos de acceso a un objeto protegido. Cada ACE especifica los tipos de intentos de acceso de un administrador especificado que hace que el sistema genere un registro en el registro de eventos de seguridad. Una ACE en una SACL puede generar registros de auditoría cuando se produce un error en un intento de acceso, cuando se realiza correctamente o ambos. Para obtener más información sobre las SACL, consulte Auditar la generación y el derecho de acceso sacl.

No intente trabajar directamente con el contenido de una ACL. Para asegurarse de que las ACL sean semánticamente correctas, use las funciones adecuadas para crear y manipular ACL. Para obtener más información, vea Obtener información de una ACL y Crear o modificar una ACL.

Las ACL también proporcionan control de acceso a los objetos de servicio de directorio de Microsoft Active Directory. Las interfaces de servicio de Active Directory (ADSI) incluyen rutinas para crear y modificar el contenido de estas ACL. Para obtener más información, vea Controlar el acceso a objetos de Active Directory.