Compartilhar via


ACEs para controlar o acesso às propriedades de um objeto

A DACL ( lista de controle de acesso discricionário ) de um objeto DS (serviço de diretório) pode conter uma hierarquia de ACEs ( entradas de controle de acesso ), da seguinte maneira:

  1. ACEs que protegem o próprio objeto
  2. ACEs específicas do objeto que protegem um conjunto de propriedades especificado no objeto
  3. ACEs específicas do objeto que protegem uma propriedade especificada no objeto

Dentro dessa hierarquia, os direitos concedidos ou negados em um nível mais alto também se aplicam aos níveis inferiores. Por exemplo, se uma ACE específica do objeto em um conjunto de propriedades permitir que um objeto de confiança ADS_RIGHT_DS_READ_PROP direito, o administrador terá acesso de leitura implícito a todas as propriedades desse conjunto de propriedades. Da mesma forma, uma ACE no próprio objeto que permite acesso ADS_RIGHT_DS_READ_PROP fornece ao administrador acesso de leitura a todas as propriedades do objeto.

A ilustração a seguir mostra a árvore de um objeto DS hipotético e seus conjuntos de propriedades e propriedades.

hierarquia de objetos do serviço de diretório

Suponha que você queira permitir o seguinte acesso às propriedades deste objeto DS:

  • Permitir permissão de leitura/gravação do Grupo A para todas as propriedades do objeto
  • Permitir permissão de leitura/gravação para todas as propriedades, exceto a Propriedade D

Para fazer isso, defina as ACEs na DACL do objeto, conforme mostrado na tabela a seguir.

Administrador GUID do objeto Tipo ACE Direitos de acesso
Grupo A Nenhum ACE com permissão de acesso ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Todos Conjunto de Propriedades 1 ACE do objeto com permissão de acesso ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Todos Propriedade C ACE do objeto com permissão de acesso ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP

 

O ACE para o Grupo A não tem um GUID de objeto, o que significa que ele permite o acesso a todas as propriedades do objeto. A ACE específica do objeto para o Conjunto de Propriedades 1 permite que todos acessem as Propriedades A e B. A outra ACE específica do objeto permite que todos acessem a Propriedade C. Observe que, embora essa DACL não tenha ACEs negadas pelo acesso, ela nega implicitamente o acesso da Propriedade D a todos, exceto ao Grupo A.

Quando um usuário tenta acessar a propriedade de um objeto, o sistema verifica as ACEs, em ordem, até que o acesso solicitado seja explicitamente concedido, negado ou não haja mais ACEs, nesse caso, o acesso é implicitamente negado.

O sistema avalia:

  • ACEs que se aplicam ao próprio objeto
  • ACEs específicas do objeto que se aplicam ao conjunto de propriedades que contém a propriedade que está sendo acessada
  • ACEs específicas do objeto que se aplicam à propriedade que está sendo acessada

O sistema ignora ACEs específicas do objeto que se aplicam a outros conjuntos de propriedades ou propriedades.