アクセス制御リスト

アクセス制御リスト (ACL) は、アクセス制御エントリ (ACE) のリストです。 ACL 内の各 ACE は、トラスティを識別し、そのトラスティに対して許可、拒否、監査されているアクセス権を指定します。 セキュリティ保護可能なオブジェクトのセキュリティ記述子には、DACL と SACL の 2 種類の ACL を含めることができます。

随意アクセス制御リスト (DACL) は、セキュリティ保護可能なオブジェクトへのアクセスが許可または拒否されているトラスティを識別します。 プロセスがセキュリティ保護可能なオブジェクトへのアクセスを試みると、システムはオブジェクトの DACL 内の ACE を調べて、アクセス権を付与するかどうかを判断します。 オブジェクトに DACL がない場合、システムは全員にフル アクセスを許可します。 オブジェクトの DACL に ACE がない場合、DACL ではアクセス権が許可されないため、システムはオブジェクトへのアクセスを拒否します。 システムは、要求されたすべてのアクセス権を許可する 1 つ以上の ACE が見つかるまで、または要求されたアクセス権のいずれかが拒否されるまで、ACE を順番にチェックします。 詳細については、「 DACL がオブジェクトへのアクセスを制御する方法」を参照してください。 DACL を適切に作成する方法については、「DACL の 作成」を参照してください。

システム アクセス制御リスト (SACL) を使用すると、管理者はセキュリティで保護されたオブジェクトへのアクセス試行をログに記録できます。 各 ACE は、指定されたトラスティによるアクセス試行の種類を指定します。これにより、システムはセキュリティ イベント ログにレコードを生成します。 SACL の ACE は、アクセス試行が失敗した場合、成功した場合、またはその両方で監査レコードを生成できます。 SACL の詳細については、「生成と SACL アクセス権の監査」を参照してください。

ACL の内容を直接操作しないでください。 ACL が意味的に正しいことを確認するには、適切な関数を使用して ACL を作成して操作します。 詳細については、「 ACL からの情報の取得」および「ACL の 作成または変更」を参照してください。

ACL は、Microsoft Active Directory サービス オブジェクトへのアクセス制御も提供します。 Active Directory サービス インターフェイス (ADSI) には、これらの ACL の内容を作成および変更するためのルーチンが含まれています。 詳細については、「Active Directory Domain Servicesでのオブジェクト アクセスの制御」を参照してください。