Sdílet prostřednictvím

Seznamy řízení přístupu

  • Článek

Seznam seznamu řízení přístupu (ACL) je seznam položek řízení přístupu (ACE). Každá funkce ACE v seznamu ACL identifikuje správce a určuje přístupová práva povolená, odepřená nebo auditovaná pro daného správce. Popisovač zabezpečení pro zabezpečitelný objekt může obsahovat dva typy seznamů ACL: DACL a SACL.

volitelný seznam řízení přístupu (DACL) identifikuje správce, kteří mají povolený nebo odepřený přístup k zabezpečitelnému objektu. Když se proces pokusí o přístup k zabezpečitelnému objektu, systém zkontroluje ACL objektu v seznamu DACL objektu a určí, zda se má udělit přístup. Pokud objekt nemá seznam DACL, systém udělí úplný přístup všem. Pokud seznam DACL objektu nemá žádné seznamy ACL, systém odepře všechny pokusy o přístup k objektu, protože seznam DACL nepovoluje žádná přístupová práva. Systém postupně kontroluje ACL, dokud nenajde jeden nebo více ACL, které umožňují všechna požadovaná přístupová práva, nebo dokud nebudou odepřena některá z požadovaných přístupových práv. Další informace naleznete v tématu Jak seznamy DACCl řídí přístup k objektu. Informace o tom, jak správně vytvořit seznam DACL, naleznete v tématu Vytvoření seznamu DACL.

Seznam řízení přístupu systému (SACL) umožňuje správcům protokolovat pokusy o přístup k zabezpečenému objektu. Každá ACE určuje typy pokusů o přístup zadaným správcem, který způsobí, že systém vygeneruje záznam v protokolu událostí zabezpečení. ACE v SACL může generovat záznamy auditu v případě selhání pokusu o přístup, když bude úspěšný nebo obojí. Další informace o sacls naleznete v tématu generování auditu a SACL přístup práva.

Nepokoušejte se pracovat přímo s obsahem seznamu ACL. Abyste zajistili, že seznamy ACL jsou sémanticky správné, použijte k vytváření a manipulaci s seznamy ACL odpovídající funkce. Další informace naleznete v tématu Získání informací z seznamu ACL a Vytvoření nebo úprava seznamu ACL.

Seznamy ACL také poskytují řízení přístupu k objektům služby Microsoft Active Directory. Rozhraní služby Active Directory Service Interfaces (ADSI) zahrnují rutiny pro vytváření a úpravy obsahu těchto seznamů ACL. Další informace naleznete v tématu Řízení přístupu k objektům ve službě Active Directory Domain Services.