Partager via


AcEs pour contrôler l’accès aux propriétés d’un objet

La liste de contrôle d’accès discrétionnaire (DACL) d’un objet de service d’annuaire (DS) peut contenir une hiérarchie d’entrées de contrôle d’accès (ACA), comme suit :

  1. AE qui protègent l’objet lui-même
  2. AcEs spécifiques à l’objet qui protègent un jeu de propriétés spécifié sur l’objet
  3. AES spécifiques à l’objet qui protègent une propriété spécifiée sur l’objet

Au sein de cette hiérarchie, les droits accordés ou refusés à un niveau supérieur s’appliquent également aux niveaux inférieurs. Par exemple, si un ACE spécifique à un objet sur un jeu de propriétés autorise un fiduciaire à ADS_RIGHT_DS_READ_PROP droit, le fiduciaire dispose d’un accès en lecture implicite à toutes les propriétés de ce jeu de propriétés. De même, un ACE sur l’objet lui-même qui autorise l’accès ADS_RIGHT_DS_READ_PROP donne au fiduciaire un accès en lecture à toutes les propriétés de l’objet.

L’illustration suivante montre l’arborescence d’un objet DS hypothétique et ses jeux de propriétés et propriétés.

hiérarchie d’objets de service d’annuaire

Supposons que vous souhaitiez autoriser l’accès suivant aux propriétés de cet objet DS :

  • Autoriser l’autorisation de lecture/écriture du groupe A à toutes les propriétés de l’objet
  • Autoriser tous les autres utilisateurs à lire/écrire l’autorisation sur toutes les propriétés à l’exception de la propriété D

Pour ce faire, définissez les ACA dans la liste DACL de l’objet, comme indiqué dans le tableau suivant.

Tiers de confiance GUID d’objet Type ACE Droits d’accès
Group A None ACCÈS ACE autorisé ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Tout le monde Jeu de propriétés 1 Objet ACE autorisé par accès ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Tout le monde Propriété C Objet ACE autorisé par accès ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP

 

L’ACE pour le groupe A n’a pas de GUID d’objet, ce qui signifie qu’il autorise l’accès à toutes les propriétés de l’objet. L’ACE spécifique à l’objet pour le jeu de propriétés 1 permet à tout le monde d’accéder aux propriétés A et B. L’autre ACE spécifique à l’objet permet à tout le monde d’accéder à la propriété C. Notez que bien que cette LISTE de contrôle d’accès ne dispose d’aucun AIC refusé, elle refuse implicitement l’accès à la propriété D à tout le monde à l’exception du groupe A.

Lorsqu’un utilisateur tente d’accéder à la propriété d’un objet, le système vérifie les ACÉ, dans l’ordre, jusqu’à ce que l’accès demandé soit explicitement accordé, refusé ou qu’il n’y ait plus d’ACÉ, auquel cas, l’accès est implicitement refusé.

Le système évalue :

  • AES qui s’appliquent à l’objet lui-même
  • AES spécifiques à l’objet qui s’appliquent au jeu de propriétés qui contient la propriété en cours d’accès
  • AES spécifiques à l’objet qui s’appliquent à la propriété accessible

Le système ignore les ADE spécifiques aux objets qui s’appliquent à d’autres jeux de propriétés ou propriétés.