Objekt- und Attributschutz

Eine Zugriffssteuerungsliste (Access Control List, ACL) schützt alle Objekte in Active Directory Domain Services. ACLs bestimmen, wer das Objekt anzeigen kann, welche Attribute sie lesen können und welche Aktionen jeder Benutzer für das Objekt ausführen kann. Das Vorhandensein eines Objekts oder Attributs wird niemals einem nicht autorisierten Benutzer offengelegt.

Eine ACL ist eine Liste von Zugriffssteuerungseinträgen (Access Control Entries, ACEs), die mit dem objekt gespeichert sind, das sie schützt. In Windows NT und Windows 2000 wird eine ACL als binärwert gespeichert, der als Sicherheitsdeskriptor bezeichnet wird. Jeder ACE enthält eine Sicherheits-ID (SID), die den Prinzipal (Benutzer oder die Gruppe) identifiziert, auf den der ACE angewendet wird, sowie Daten darüber, welche Art von Zugriff der ACE gewährt oder verweigert.

ACLs für Verzeichnisobjekte enthalten ACEs, die für das Objekt als Ganzes gelten, und ACEs, die für die einzelnen Attribute des Objekts gelten. Dadurch kann ein Administrator nicht nur steuern, welche Benutzer ein Objekt sehen können, sondern auch, welche Eigenschaften diese Benutzer anzeigen können. Beispielsweise kann allen Benutzern Lesezugriff auf die E-Mail- und Telefonnummernattribute für alle anderen Benutzer gewährt werden, aber Sicherheitseigenschaften von Benutzern können allen Benutzern außer Mitgliedern einer speziellen Sicherheitsadministratorgruppe verweigert werden. Einzelnen Benutzern kann Schreibzugriff auf persönliche Attribute wie die Telefon- und Postadressen auf ihren eigenen Benutzerobjekten gewährt werden.