Chaînes ACE
Le langage de définition de descripteur de sécurité (SDDL) utilise des chaînes ACE dans les composants DACL et SACL d’une chaîne de descripteur de sécurité .
Comme indiqué dans les exemples de format de chaîne de descripteur de sécurité , chaque ACE d’une chaîne de descripteur de sécurité est entre parenthèses. Les champs de l’ACE sont dans l’ordre suivant et sont séparés par des points-virgules (;).
Notes
Les entrées de contrôle d’accès conditionnel (ACÉ) ont un format différent de celui des autres types ACE. Pour les AE conditionnels, consultez Langage de définition de descripteur de sécurité pour les AIC conditionnels.
ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)
Champs
-
ace_type
-
Chaîne qui indique la valeur du membre AceType de la structure ACE_HEADER . La chaîne de type ACE peut être l’une des chaînes suivantes définies dans Sddl.h :
Chaîne de type ACE Constante dans Sddl.h Valeur AceType « A » SDDL_ACCESS_ALLOWED ACCESS_ALLOWED_ACE_TYPE « D » SDDL_ACCESS_DENIED ACCESS_DENIED_ACE_TYPE « OA » SDDL_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_OBJECT_ACE_TYPE « OD » SDDL_OBJECT_ACCESS_DENIED ACCESS_DENIED_OBJECT_ACE_TYPE « AU » SDDL_AUDIT SYSTEM_AUDIT_ACE_TYPE "AL" SDDL_ALARM SYSTEM_ALARM_ACE_TYPE « OU » SDDL_OBJECT_AUDIT SYSTEM_AUDIT_OBJECT_ACE_TYPE « OL » SDDL_OBJECT_ALARM SYSTEM_ALARM_OBJECT_ACE_TYPE « ML » SDDL_MANDATORY_LABEL SYSTEM_MANDATORY_LABEL_ACE_TYPE Windows Server 2003 : non disponible. « XA » SDDL_CALLBACK_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « XD » SDDL_CALLBACK_ACCESS_DENIED ACCESS_DENIED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « RA » SDDL_RESOURCE_ATTRIBUTE SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « SP » SDDL_SCOPED_POLICY_ID SYSTEM_SCOPED_POLICY_ID_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « XU » SDDL_CALLBACK_AUDIT SYSTEM_AUDIT_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « ZA » SDDL_CALLBACK_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « TL » SDDL_PROCESS_TRUST_LABEL SYSTEM_PROCESS_TRUST_LABEL_ACE_TYPE Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « FL » SDDL_ACCESS_FILTER SYSTEM_ACCESS_FILTER_ACE_TYPE Windows Server 2016, Windows 10 version 1607, Windows 10 version 1511, Windows 10 version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. Notes
Si ace_type est ACCESS_ALLOWED_OBJECT_ACE_TYPE et qu’aucun GUID n’est spécifié object_guid ni inherit_object_guid, ConvertStringSecurityDescriptorToSecurityDescriptor convertit ace_type en ACCESS_ALLOWED_ACE_TYPE.
-
ace_flags
-
Chaîne qui indique la valeur du membre AceFlags de la structure ACE_HEADER . La chaîne d’indicateurs ACE peut être une concaténation des chaînes suivantes définies dans Sddl.h :
Chaîne d’indicateurs ACE Constante dans Sddl.h Valeur AceFlag « CI » SDDL_CONTAINER_INHERIT CONTAINER_INHERIT_ACE « OI » SDDL_OBJECT_INHERIT OBJECT_INHERIT_ACE « NP » SDDL_NO_PROPAGATE NO_PROPAGATE_INHERIT_ACE « E/S » SDDL_INHERIT_ONLY INHERIT_ONLY_ACE « ID » SDDL_INHERITED INHERITED_ACE « SA » SDDL_AUDIT_SUCCESS SUCCESSFUL_ACCESS_ACE_FLAG « FA » SDDL_AUDIT_FAILURE FAILED_ACCESS_ACE_FLAG « TP » SDDL_TRUST_PROTECTED_FILTER TRUST_PROTECTED_FILTER_ACE_FLAG Windows Server 2016, Windows 10 version 1607, Windows 10 version 1511, Windows 10 version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « CR » SDDL_CRITICAL CRITICAL_ACE_FLAG Windows Server version 1803, Windows 10 version 1803, Windows Server version 1709, Windows 10 version 1709, Windows 10 version 1703, Windows Server 2016, Windows 10 version 1607, Windows 10 version 1511, Windows 10 version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. -
Droits
-
Chaîne qui indique les droits d’accès contrôlés par l’ACE. Cette chaîne peut être une représentation hexadécimale des droits d’accès, telle que « 0x7800003F », ou il peut s’agir d’une concaténation des chaînes suivantes.
Droits d’accès génériques
Chaîne de droits d’accès Constante dans Sddl.h Valeur de droite d’accès « GA » SDDL_GENERIC_ALL GENERIC_ALL « GR » SDDL_GENERIC_READ GENERIC_READ « GW » SDDL_GENERIC_WRITE GENERIC_WRITE « GX » SDDL_GENERIC_EXECUTE GENERIC_EXECUTE Droits d’accès standard
Chaîne de droits d’accès Constante dans Sddl.h Valeur de droite d’accès « RC » SDDL_READ_CONTROL READ_CONTROL « SD » SDDL_STANDARD_DELETE Suppression « WD » SDDL_WRITE_DAC WRITE_DAC « WO » SDDL_WRITE_OWNER WRITE_OWNER Droits d’accès aux objets de service d’annuaire
Chaîne de droits d’accès Constante dans Sddl.h Valeur de droite d’accès « RP » SDDL_READ_PROPERTY ADS_RIGHT_DS_READ_PROP « WP » SDDL_WRITE_PROPERTY ADS_RIGHT_DS_WRITE_PROP « CC » SDDL_CREATE_CHILD ADS_RIGHT_DS_CREATE_CHILD « DC » SDDL_DELETE_CHILD ADS_RIGHT_DS_DELETE_CHILD « LC » SDDL_LIST_CHILDREN ADS_RIGHT_ACTRL_DS_LIST « SW » SDDL_SELF_WRITE ADS_RIGHT_DS_SELF « LO » SDDL_LIST_OBJECT ADS_RIGHT_DS_LIST_OBJECT « DT » SDDL_DELETE_TREE ADS_RIGHT_DS_DELETE_TREE « CR » SDDL_CONTROL_ACCESS ADS_RIGHT_DS_CONTROL_ACCESS Droits d’accès aux fichiers
Chaîne de droits d’accès Constante dans Sddl.h Valeur de droite d’accès « FA » SDDL_FILE_ALL FILE_GENERIC_ALL « FR » SDDL_FILE_READ FILE_GENERIC_READ « FW » SDDL_FILE_WRITE FILE_GENERIC_WRITE « FX » SDDL_FILE_EXECUTE FILE_GENERIC_EXECUTE Droits d’accès à la clé de Registre
Chaîne de droits d’accès Constante dans Sddl.h Valeur de droite d’accès « KA » SDDL_KEY_ALL KEY_ALL_ACCESS « KR » SDDL_KEY_READ KEY_READ « KW » SDDL_KEY_WRITE KEY_WRITE « KX » SDDL_KEY_EXECUTE KEY_EXECUTE Droits d’étiquette obligatoires
Chaîne de droits d’accès Constante dans Sddl.h Valeur de droite d’accès « NR » SDDL_NO_READ_UP SYSTEM_MANDATORY_LABEL_NO_READ_UP Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « NW » SDDL_NO_WRITE_UP SYSTEM_MANDATORY_LABEL_NO_WRITE_UP Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. « NX » SDDL_NO_EXECUTE_UP SYSTEM_MANDATORY_LABEL_NO_EXECUTE_UP Windows Server 2008, Windows Vista et Windows Server 2003 : non disponible. -
object_guid
-
Représentation sous forme de chaîne d’un GUID qui indique la valeur du membre ObjectType d’une structure ACE spécifique à un objet, telle que ACCESS_ALLOWED_OBJECT_ACE. La chaîne GUID utilise le format retourné par la fonction UuidToString .
Le tableau suivant répertorie certains GUID d’objets couramment utilisés :
Droits et GUID Autorisation CR;ab721a53-1e2f-11d0-9819-00aa0040529b Modifier le mot de passe CR;00299570-246d-11d0-a768-00aa006e0529 Réinitialiser le mot de passe -
inherit_object_guid
-
Représentation sous forme de chaîne d’un GUID qui indique la valeur du membre InheritedObjectType d’une structure ACE spécifique à un objet. La chaîne GUID utilise le format UuidToString .
-
account_sid
-
Chaîne SID qui identifie le fiduciaire de l’ACE.
-
resource_attribute
-
[FACULTATIF] La resource_attribute concerne uniquement les ACL de ressources et est facultative. Chaîne qui indique le type de données. Le type de données ace de l’attribut de ressource peut être l’un des types de données suivants définis dans Sddl.h.
Le signe « # » est synonyme de « 0 » dans les attributs de ressource. Par exemple, D:AI(XA;OICI;FA;;; WD;(OctetStringType==#1#2#3##)) est équivalent à et interprété comme D:AI(XA;OICI;FA;;; WD;(OctetStringType==#01020300)).
Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista et Windows Server 2003 : Les attributs de ressource ne sont pas disponibles.
Chaîne de type de données ace de l’attribut de ressource Constante dans Sddl.h Type de données « TI » SDDL_INT Entier signé « TU » SDDL_UINT Entier non signé « TS » SDDL_WSTRING Chaîne large « TD » SDDL_SID SID « TX » SDDL_BLOB Chaîne d’octets « To » SDDL_BOOLEAN Boolean
L’exemple suivant montre une chaîne ACE pour une ace autorisée par accès. Il ne s’agit pas d’un ACE spécifique à un objet. Il ne contient donc aucune information dans les champs object_guid et inherit_object_guid . Le champ ace_flags est également vide, ce qui indique qu’aucun indicateur ACE n’est défini.
(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-1-0)
La chaîne ACE ci-dessus décrit les informations ACE suivantes.
AceType: 0x00 (ACCESS_ALLOWED_ACE_TYPE)
AceFlags: 0x00
Access Mask: 0x100e003f
READ_CONTROL
WRITE_DAC
WRITE_OWNER
GENERIC_ALL
Other access rights(0x0000003f)
Ace Sid : (S-1-1-0)
L’exemple suivant montre un fichier classé avec des revendications de ressources pour Windows et langage SQL (SQL) avec l’option Confidentialité définie sur Impact élevé sur l’entreprise.
(RA;CI;;;;S-1-1-0; ("Project",TS,0,"Windows","SQL"))
(RA;CI;;;;S-1-1-0; ("Secrecy",TU,0,3))
La chaîne ACE ci-dessus décrit les informations ACE suivantes.
AceType: 0x12 (SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE)
AceFlags: 0x1 (SDDL_CONTAINER_INHERIT)
Access Mask: 0x0
Ace Sid : (S-1-1-0)
Resource Attributes: Project has the strings Windows and SQL, Secrecy has the unsigned int value of 3
Pour plus d’informations, consultez Security Descriptor String Format et SID Strings. Pour les AE conditionnels, consultez Langage de définition de descripteur de sécurité pour les AIC conditionnels.
Voir aussi
[MS-DTYP] : Langage de description du descripteur de sécurité