Listas de control de acceso

  • Artículo
  • Tiempo de lectura: 2 minutos

Una lista de control de acceso (ACL) es una lista de entradas de control de acceso (ACE). Cada ACE de una ACL identifica a un usuario de confianza y especifica los derechos de acceso concedidos, denegados o auditados para dicho usuario. El descriptor de seguridad de un objeto protegible puede contener dos tipos de ACL: una DACL y una SACL.

Una lista de control de acceso discrecional (DACL) identifica a los administradores que se permiten o deniegan el acceso a un objeto protegible. Cuando un proceso intenta acceder a un objeto protegible, el sistema comprueba los ACA en la DACL del objeto para determinar si se va a conceder acceso a él. Si el objeto no tiene una DACL, el sistema concede acceso total a todos los usuarios. Si la DACL del objeto no tiene ACE, el sistema deniega todos los intentos de acceder al objeto porque la DACL no permite ningún derecho de acceso. El sistema comprueba los ASE en secuencia hasta que encuentre uno o varios ACE que permitan todos los derechos de acceso solicitados, o hasta que se deniegue cualquiera de los derechos de acceso solicitados. Para obtener más información, vea Cómo controlan los DACL el acceso a un objeto. Para obtener información sobre cómo crear correctamente una DACL, consulte Creación de una DACL.

Una lista de control de acceso del sistema (SACL) permite a los administradores registrar intentos de acceso a un objeto protegido. Cada ACE especifica los tipos de intentos de acceso de un administrador especificado que hace que el sistema genere un registro en el registro de eventos de seguridad. Una ACE en una SACL puede generar registros de auditoría cuando se produce un error en un intento de acceso, cuando se realiza correctamente, o ambos. Para obtener más información sobre las SACL, consulte Auditar elderecho de acceso de generación y SACL.

No intente trabajar directamente con el contenido de una ACL. Para asegurarse de que las ACL sean semánticamente correctas, use las funciones adecuadas para crear y manipular ACL. Para obtener más información, consulte Obtención de información de una ACL y Creación o modificación de una ACL.

Las ACL también proporcionan control de acceso a los objetos de servicio de Microsoft Active Directory. Las interfaces de servicio de Active Directory (ADSI) incluyen rutinas para crear y modificar el contenido de estas ACL. Para obtener más información, consulte Control del acceso a objetos en Servicios de dominio de Active Directory.