Поделиться через


Доступ к спискам управления

access control list (ACL) is a list of access control entries (ACE). Каждый ACE в ACL идентифицирует доверенного лица и указывает права доступа , разрешенные, запрещенные или проверенные для этого доверенного лица. Дескриптор безопасности для защищаемого объекта может содержать два типа списков управления доступом: DACL и SACL.

Список управления доступом на уровне пользователей (DACL) определяет доверенных лиц, которым разрешен или запрещен доступ к защищаемому объекту. Когда процесс пытается получить доступ к защищаемому объекту, система проверяет ACE в DACL объекта, чтобы определить, следует ли предоставить доступ к нему. Если у объекта нет DACL, система предоставляет полный доступ всем пользователям. Если dacl объекта не имеет ACE, система отклоняет все попытки доступа к объекту, так как DACL не разрешает какие-либо права доступа. Система проверяет ACE в последовательности, пока не найдет один или несколько ACE, которые разрешают все запрошенные права доступа, или пока не будет отказано в любом из запрошенных прав доступа. Дополнительные сведения см. в разделе Управление доступом к объекту DACLs. Сведения о том, как правильно создать DACL, см. в разделе Создание DACL.

Системный список управления доступом (SACL) позволяет администраторам регистрировать попытки доступа к защищенному объекту. Каждый ACE указывает типы попыток доступа со стороны указанного доверенного лица, которые приводят к созданию системой записи в журнале событий безопасности. ACE в SACL может создавать записи аудита при сбое попытки доступа, при успешном выполнении или и в том, Дополнительные сведения о списках SACL см. в разделе Аудит создания и права доступа к saCL.

Не пытайтесь работать напрямую с содержимым ACL. Чтобы обеспечить семантическую правильность списков управления доступом, используйте соответствующие функции для создания списков управления доступом и управления ими. Дополнительные сведения см. в разделах Получение сведений из ACL и Создание или изменение ACL.

Списки управления доступом также обеспечивают управление доступом к объектам службы Microsoft Active Directory. Интерфейсы служб Active Directory (ADSI) включают подпрограммы для создания и изменения содержимого этих списков управления доступом. Дополнительные сведения см. в разделе Управление доступом к объектам в доменные службы Active Directory.