Access Control 목록

ACL( 액세스 제어 목록 )은 ACE( 액세스 제어 항목 ) 목록입니다. ACL의 각 ACE는 트러스티를 식별하고 해당 트러스티 에 대해 허용, 거부 또는 감사된 액세스 권한을 지정합니다. 보안 개체보안 설명자에는 DACL 및 SACL이라는 두 가지 유형의 ACL이 포함될 수 있습니다.

DACL( 임의 액세스 제어 목록 )은 보안 개체에 대한 액세스를 허용하거나 거부하는 수탁자를 식별합니다. 프로세스가 보안 개체에 액세스하려고 하면 시스템에서 개체의 DACL에 있는 ACE를 확인하여 액세스 권한을 부여할지 여부를 결정합니다. 개체에 DACL이 없는 경우 시스템은 모든 사용자에게 모든 권한을 부여합니다. 개체의 DACL에 API가 없으면 DACL에서 액세스 권한을 허용하지 않으므로 시스템에서 개체 액세스 시도를 모두 거부합니다. 시스템은 요청된 모든 액세스 권한을 허용하는 하나 이상의 ACE를 찾거나 요청된 액세스 권한이 거부될 때까지 ACE를 순서대로 확인합니다. 자세한 내용은 DACLs가 개체에 대한 액세스를 제어하는 방법을 참조하세요. DACL을 올바르게 만드는 방법에 대한 자세한 내용은 DACL 만들기를 참조하세요.

SACL( 시스템 액세스 제어 목록 )을 사용하면 관리자가 보안 개체에 액세스하려는 시도를 기록할 수 있습니다. 각 ACE는 시스템이 보안 이벤트 로그에 레코드를 생성하도록 지정한 트러스티의 액세스 시도 유형을 지정합니다. SACL의 ACE는 액세스 시도가 실패하거나 성공하거나 둘 다 실패할 때 감사 레코드를 생성할 수 있습니다. SACL에 대한 자세한 내용은 감사 생성SACL 액세스 권한을 참조하세요.

ACL의 내용으로 직접 작업하지 마세요. ACL이 의미상 올바른지 확인하려면 적절한 함수를 사용하여 ACL을 만들고 조작합니다. 자세한 내용은 ACL에서 정보 가져오기ACL 만들기 또는 수정을 참조하세요.

ACL은 Microsoft Active Directory 디렉터리 서비스 개체에 대한 액세스 제어도 제공합니다. ADSI(Active Directory 서비스 인터페이스)에는 이러한 ACL의 콘텐츠를 만들고 수정하는 루틴이 포함됩니다. 자세한 내용은 Active Directory 개체에 대한 액세스 제어를 참조하세요.