Listes de contrôle d'accès
Une liste de contrôle d'accès (ACL) est une liste d'entrées de contrôle d'accès (ACE). Chaque ACE dans une ACL identifie un tiers de confiance et spécifie les droits d'accès autorisés, refusés ou audités pour ce tiers de confiance. Le descripteur de sécurité d’un objet sécurisable peut contenir deux types de listes de contrôle d’accès : une LISTE de contrôle d’accès (DACL) et une LISTE de contrôle d’accès (SACL).
Une liste de contrôle d’accès discrétionnaire (DACL) identifie les fiduciaires qui sont autorisés ou refusés à accéder à un objet sécurisable. Lorsqu’un processus tente d’accéder à un objet sécurisable, le système vérifie les ACL dans la liste DACL de l’objet pour déterminer s’il faut lui accorder l’accès. Si l’objet n’a pas de DACL, le système accorde un accès complet à tout le monde. Si la liste DACL de l’objet n’a pas d’ACL, le système refuse toutes les tentatives d’accès à l’objet, car la liste DACL n’autorise aucun droit d’accès. Le système vérifie les ACL dans l’ordre jusqu’à ce qu’il trouve un ou plusieurs ACL qui autorisent tous les droits d’accès demandés, ou jusqu’à ce que l’un des droits d’accès demandés soit refusé. Pour plus d’informations, consultez Comment les DACL contrôlent l’accès à un objet. Pour plus d’informations sur la création correcte d’une liste DACL, consultez Création d’un DACL.
Une liste de contrôle d’accès système (SACL) permet aux administrateurs de journaliser les tentatives d’accès à un objet sécurisé. Chaque ACE spécifie les types de tentatives d’accès effectuées par un administrateur spécifié qui amènent le système à générer un enregistrement dans le journal des événements de sécurité. Une ACE dans une liste SACL peut générer des enregistrements d’audit en cas d’échec d’une tentative d’accès, lorsqu’elle réussit, ou les deux. Pour plus d’informations sur les SACL, consultez Auditer la génération et le droit d’accès SACL.
N’essayez pas d’utiliser directement le contenu d’une liste de contrôle d’accès. Pour vous assurer que les listes de contrôle d’accès sont sémantiquement correctes, utilisez les fonctions appropriées pour créer et manipuler des listes de contrôle d’accès. Pour plus d’informations, consultez Obtention d’informations à partir d’une liste de contrôle d’accès et Création ou modification d’une liste de contrôle d’accès.
Les listes de contrôle d’accès fournissent également un contrôle d’accès aux objets de service Microsoft Active Directory. Les interfaces de service Active Directory (ADSI) incluent des routines permettant de créer et de modifier le contenu de ces listes de contrôle d’accès. Pour plus d’informations, consultez Contrôle de l’accès aux objets dans services de domaine Active Directory.