String ACE
Bahasa definisi deskriptor keamanan (SDDL) menggunakan string ACE di komponen DACL dan SACL dari string deskriptor keamanan.
Seperti yang ditunjukkan dalam contoh Format String Deskriptor Keamanan , setiap ACE dalam string deskriptor keamanan diapit dalam tanda kurung. Bidang ACE berada dalam urutan berikut dan dipisahkan oleh titik koma (;).
Catatan
Entri kontrol akses bersyarkat (ACE) memiliki format yang berbeda dari jenis ACE lainnya. Untuk ACE bersyarah, lihat Bahasa Definisi Deskriptor Keamanan untuk ACE Bersyarah.
ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)
Bidang
-
ace_type
-
String yang menunjukkan nilai anggota AceType dari struktur ACE_HEADER . String jenis ACE dapat menjadi salah satu string berikut yang ditentukan dalam Sddl.h:
String jenis ACE Konstanta dalam Sddl.h Nilai AceType "A" SDDL_ACCESS_ALLOWED ACCESS_ALLOWED_ACE_TYPE "D" SDDL_ACCESS_DENIED ACCESS_DENIED_ACE_TYPE "OA" SDDL_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_OBJECT_ACE_TYPE "OD" SDDL_OBJECT_ACCESS_DENIED ACCESS_DENIED_OBJECT_ACE_TYPE "AU" SDDL_AUDIT SYSTEM_AUDIT_ACE_TYPE "AL" SDDL_ALARM SYSTEM_ALARM_ACE_TYPE "OU" SDDL_OBJECT_AUDIT SYSTEM_AUDIT_OBJECT_ACE_TYPE "OL" SDDL_OBJECT_ALARM SYSTEM_ALARM_OBJECT_ACE_TYPE "ML" SDDL_MANDATORY_LABEL SYSTEM_MANDATORY_LABEL_ACE_TYPE Windows Server 2003: Tidak tersedia. "XA" SDDL_CALLBACK_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. "XD" SDDL_CALLBACK_ACCESS_DENIED ACCESS_DENIED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. "RA" SDDL_RESOURCE_ATTRIBUTE SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. "SP" SDDL_SCOPED_POLICY_ID SYSTEM_SCOPED_POLICY_ID_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. "XU" SDDL_CALLBACK_AUDIT SYSTEM_AUDIT_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. "ZA" SDDL_CALLBACK_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. "TL" SDDL_PROCESS_TRUST_LABEL SYSTEM_PROCESS_TRUST_LABEL_ACE_TYPE Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. "FL" SDDL_ACCESS_FILTER SYSTEM_ACCESS_FILTER_ACE_TYPE Windows Server 2016, Windows 10 Versi 1607, Windows 10 Versi 1511, Windows 10 Versi 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista dan Windows Server 2003: Tidak Tersedia. Catatan
Jika ace_type ACCESS_ALLOWED_OBJECT_ACE_TYPE dan tidak object_guid atau inherit_object_guid memiliki GUID yang ditentukan, maka ConvertStringSecurityDescriptorToSecurityDescriptor mengonversi ace_type menjadi ACCESS_ALLOWED_ACE_TYPE.
-
ace_flags
-
String yang menunjukkan nilai anggota AceFlags dari struktur ACE_HEADER . String bendera ACE dapat menjadi perangkaian string berikut yang ditentukan dalam Sddl.h:
String bendera ACE Konstanta dalam Sddl.h Nilai AceFlag "CI" SDDL_CONTAINER_INHERIT CONTAINER_INHERIT_ACE "OI" SDDL_OBJECT_INHERIT OBJECT_INHERIT_ACE "NP" SDDL_NO_PROPAGATE NO_PROPAGATE_INHERIT_ACE "IO" SDDL_INHERIT_ONLY INHERIT_ONLY_ACE "ID" SDDL_INHERITED INHERITED_ACE "SA" SDDL_AUDIT_SUCCESS SUCCESSFUL_ACCESS_ACE_FLAG "FA" SDDL_AUDIT_FAILURE FAILED_ACCESS_ACE_FLAG "TP" SDDL_TRUST_PROTECTED_FILTER TRUST_PROTECTED_FILTER_ACE_FLAG Windows Server 2016, Windows 10 Versi 1607, Windows 10 Versi 1511, Windows 10 Versi 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista dan Windows Server 2003: Tidak Tersedia. "CR" SDDL_CRITICAL CRITICAL_ACE_FLAG Windows Server Versi 1803, Windows 10 Versi 1803, Windows Server Versi 1709, Windows 10 Versi 1709, Windows 10 Versi 1703, Windows Server 2016, Windows 10 Versi 1607, Windows 10 Versi 1511, Windows 10 Versi 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista dan Windows Server 2003: Tidak tersedia. -
Hak
-
String yang menunjukkan hak akses yang dikendalikan oleh ACE. String ini dapat menjadi representasi string heksadesimal dari hak akses, seperti "0x7800003F", atau dapat menjadi perangkaian string berikut.
Hak akses generik
String hak akses Konstanta di Sddl.h Mengakses nilai yang tepat "GA" SDDL_GENERIC_ALL GENERIC_ALL "GR" SDDL_GENERIC_READ GENERIC_READ "GW" SDDL_GENERIC_WRITE GENERIC_WRITE "GX" SDDL_GENERIC_EXECUTE GENERIC_EXECUTE Hak akses standar
String hak akses Konstanta di Sddl.h Mengakses nilai yang tepat "RC" SDDL_READ_CONTROL READ_CONTROL "SD" SDDL_STANDARD_DELETE DELETE "WD" SDDL_WRITE_DAC WRITE_DAC "WO" SDDL_WRITE_OWNER WRITE_OWNER Hak akses objek layanan direktori
String hak akses Konstanta di Sddl.h Mengakses nilai yang tepat "RP" SDDL_READ_PROPERTY ADS_RIGHT_DS_READ_PROP "WP" SDDL_WRITE_PROPERTY ADS_RIGHT_DS_WRITE_PROP "CC" SDDL_CREATE_CHILD ADS_RIGHT_DS_CREATE_CHILD "DC" SDDL_DELETE_CHILD ADS_RIGHT_DS_DELETE_CHILD "LC" SDDL_LIST_CHILDREN ADS_RIGHT_ACTRL_DS_LIST "SW" SDDL_SELF_WRITE ADS_RIGHT_DS_SELF "LO" SDDL_LIST_OBJECT ADS_RIGHT_DS_LIST_OBJECT "DT" SDDL_DELETE_TREE ADS_RIGHT_DS_DELETE_TREE "CR" SDDL_CONTROL_ACCESS ADS_RIGHT_DS_CONTROL_ACCESS Hak akses file
String hak akses Konstanta di Sddl.h Mengakses nilai yang tepat "FA" SDDL_FILE_ALL FILE_GENERIC_ALL "FR" SDDL_FILE_READ FILE_GENERIC_READ "FW" SDDL_FILE_WRITE FILE_GENERIC_WRITE "FX" SDDL_FILE_EXECUTE FILE_GENERIC_EXECUTE Hak akses kunci registri
String hak akses Konstanta di Sddl.h Mengakses nilai yang tepat "KA" SDDL_KEY_ALL KEY_ALL_ACCESS "KR" SDDL_KEY_READ KEY_READ "KW" SDDL_KEY_WRITE KEY_WRITE "KX" SDDL_KEY_EXECUTE KEY_EXECUTE Hak label wajib
String hak akses Konstanta di Sddl.h Mengakses nilai yang tepat "NR" SDDL_NO_READ_UP SYSTEM_MANDATORY_LABEL_NO_READ_UP Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. "NW" SDDL_NO_WRITE_UP SYSTEM_MANDATORY_LABEL_NO_WRITE_UP Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. "NX" SDDL_NO_EXECUTE_UP SYSTEM_MANDATORY_LABEL_NO_EXECUTE_UP Windows Server 2008, Windows Vista, dan Windows Server 2003: Tidak tersedia. -
object_guid
-
Representasi string GUID yang menunjukkan nilai anggota ObjectType dari struktur ACE khusus objek, seperti ACCESS_ALLOWED_OBJECT_ACE. String GUID menggunakan format yang dikembalikan oleh fungsi UuidToString .
Tabel berikut ini mencantumkan beberapa GUID objek yang umum digunakan:
Hak dan GUID Izin CR;ab721a53-1e2f-11d0-9819-00aa0040529b Ubah kata sandi CR;00299570-246d-11d0-a768-00aa006e0529 Atur ulang kata sandi -
inherit_object_guid
-
Representasi string GUID yang menunjukkan nilai anggota InheritedObjectType dari struktur ACE khusus objek. String GUID menggunakan format UuidToString .
-
account_sid
-
String SID yang mengidentifikasi wali amanat ACE.
-
resource_attribute
-
[OPSIONAL] resource_attribute hanya untuk ACE sumber daya dan bersifat opsional. String yang menunjukkan jenis data. Jenis data as atribut sumber daya dapat menjadi salah satu jenis data berikut yang ditentukan dalam Sddl.h.
Tanda "#" identik dengan "0" dalam atribut sumber daya. Misalnya, D:AI(XA;OICI;FA;;; WD;(OctetStringType==#1#2#3##)) setara dengan dan ditafsirkan sebagai D:AI(XA;OICI;FA;;; WD;(OctetStringType==#01020300)).
Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, dan Windows Server 2003: Atribut sumber daya tidak tersedia.
String jenis data ace atribut sumber daya Konstanta di Sddl.h Jenis Data "TI" SDDL_INT Bilangan bulat bertanda tangan "TU" SDDL_UINT Bilangan bulat tidak ditandatangani "TS" SDDL_WSTRING String lebar "TD" SDDL_SID SID "TX" SDDL_BLOB String oktet "TB" SDDL_BOOLEAN Boolean
Contoh berikut menunjukkan string ACE untuk ACE yang diizinkan akses. Ini bukan ACE khusus objek, sehingga tidak memiliki informasi di bidang object_guid dan inherit_object_guid . Bidang ace_flags juga kosong, yang menunjukkan bahwa tidak ada bendera ACE yang diatur.
(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-1-0)
String ACE yang ditunjukkan di atas menjelaskan informasi ACE berikut.
AceType: 0x00 (ACCESS_ALLOWED_ACE_TYPE)
AceFlags: 0x00
Access Mask: 0x100e003f
READ_CONTROL
WRITE_DAC
WRITE_OWNER
GENERIC_ALL
Other access rights(0x0000003f)
Ace Sid : (S-1-1-0)
Contoh berikut menunjukkan file yang diklasifikasikan dengan klaim sumber daya untuk Windows dan Bahasa Permintaan Terstruktur (SQL) dengan Keseriusan diatur ke Dampak Bisnis Tinggi.
(RA;CI;;;;S-1-1-0; ("Project",TS,0,"Windows","SQL"))
(RA;CI;;;;S-1-1-0; ("Secrecy",TU,0,3))
String ACE yang ditunjukkan di atas menjelaskan informasi ACE berikut.
AceType: 0x12 (SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE)
AceFlags: 0x1 (SDDL_CONTAINER_INHERIT)
Access Mask: 0x0
Ace Sid : (S-1-1-0)
Resource Attributes: Project has the strings Windows and SQL, Secrecy has the unsigned int value of 3
Untuk informasi selengkapnya, lihat Format String Deskriptor Keamanan dan String SID. Untuk ACE bersyar, lihat Bahasa Definisi Pendeskripsi Keamanan untuk ACE Bersyar.
Lihat juga
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk