Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'elenco di controllo di accesso discrezionale (DACL) di un oggetto servizio directory può contenere una gerarchia di voci di controllo di accesso (ACL), come indicato di seguito:
- ACL che proteggono l'oggetto stesso
- ACL specifici dell'oggetto che proteggono una proprietà specificata impostata nell'oggetto
- ACL specifici dell'oggetto che proteggono una proprietà specificata nell'oggetto
All'interno di questa gerarchia, i diritti concessi o negati a un livello superiore si applicano anche ai livelli inferiori. Ad esempio, se un ace specifico dell'oggetto in un set di proprietà consente a un trustee il diritto di ADS_RIGHT_DS_READ_PROP, il trustee ha accesso in lettura implicito a tutte le proprietà di tale set di proprietà. Analogamente, un ace sull'oggetto stesso che consente l'accesso ADS_RIGHT_DS_READ_PROP concede all'utente attendibile l'accesso in lettura a tutte le proprietà dell'oggetto.
La figura seguente mostra l'albero di un oggetto DS ipotetico e i relativi set di proprietà e proprietà.
Si supponga di voler consentire l'accesso seguente alle proprietà di questo oggetto DS:
- Consenti autorizzazione di lettura/scrittura a gruppo per tutte le proprietà dell'oggetto
- Consenti a tutti gli altri utenti l'autorizzazione di lettura/scrittura per tutte le proprietà ad eccezione di Property D
A tale scopo, impostare gli ACL nell'elenco DACL dell'oggetto, come illustrato nella tabella seguente.
| Fiduciario | GUID oggetto | Tipo ACE | Diritti di accesso |
|---|---|---|---|
| Gruppo A | Nessuno | Ace consentito dall'accesso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Ciascuno | Set di proprietà 1 | Ace oggetto consentito dall'accesso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Ciascuno | Proprietà C | Ace oggetto consentito dall'accesso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
L'ace per il gruppo A non dispone di un GUID oggetto, il che significa che consente l'accesso a tutte le proprietà dell'oggetto. L'ace specifico dell'oggetto per il set di proprietà 1 consente a tutti di accedere alle proprietà A e B. L'altra ACE specifica dell'oggetto consente a tutti gli utenti di accedere alla proprietà C. Si noti che, anche se questo DACL non dispone di AA di accesso negato, nega implicitamente l'accesso alla proprietà D a tutti tranne il gruppo A.
Quando un utente tenta di accedere alla proprietà di un oggetto, il sistema controlla gli ACL, in ordine, fino a quando l'accesso richiesto non viene concesso in modo esplicito, negato o non sono presenti altri ACL, nel qual caso l'accesso viene negato in modo implicito.
Il sistema valuta:
- ACL che si applicano all'oggetto stesso
- ACL specifici dell'oggetto che si applicano al set di proprietà che contiene la proprietà a cui si accede
- ACL specifici dell'oggetto che si applicano alla proprietà a cui si accede
Il sistema ignora gli ACL specifici dell'oggetto che si applicano ad altri set di proprietà o proprietà.