ACL para controlar el acceso a las propiedades de un objeto
La lista de control de acceso discrecional (DACL) de un objeto de servicio de directorio (DS) puede contener una jerarquía de entradas de control de acceso (ACE), como se indica a continuación:
- ACL que protegen el propio objeto
- ACE específicas del objeto que protegen una propiedad especificada establecida en el objeto
- ACL específicas del objeto que protegen una propiedad especificada en el objeto
Dentro de esta jerarquía, los derechos concedidos o denegados en un nivel superior también se aplican a los niveles inferiores. Por ejemplo, si una ACE específica de un objeto en un conjunto de propiedades permite a un administrador el ADS_RIGHT_DS_READ_PROP derecho, el administrador de confianza tiene acceso de lectura implícito a todas las propiedades de ese conjunto de propiedades. Del mismo modo, una ACE en el propio objeto que permite ADS_RIGHT_DS_READ_PROP acceso proporciona al administrador acceso de lectura a todas las propiedades del objeto.
En la ilustración siguiente se muestra el árbol de un objeto DS hipotético y sus conjuntos de propiedades y propiedades.
Supongamos que desea permitir el siguiente acceso a las propiedades de este objeto DS:
- Permitir el permiso de lectura y escritura de grupo a todas las propiedades del objeto
- Permitir que todos los demás usuarios puedan leer y escribir en todas las propiedades excepto la propiedad D
Para ello, establezca los ACL en la DACL del objeto como se muestra en la tabla siguiente.
| Fiduciario | GUID de objeto | Tipo ACE | Derechos de acceso |
|---|---|---|---|
| Agrupar A | Ninguno | ACE permitida por el acceso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Todos | Conjunto de propiedades 1 | ACE de objeto permitido por acceso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Todos | Propiedad C | ACE de objeto permitido por acceso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
La ACE para el grupo A no tiene un GUID de objeto, lo que significa que permite el acceso a todas las propiedades del objeto. La ACE específica del objeto para el conjunto de propiedades 1 permite que todos los usuarios accedan a las propiedades A y B. La otra ACE específica del objeto permite a todos los usuarios acceder a la propiedad C. Tenga en cuenta que, aunque esta DACL no tiene acceso denegado, deniega implícitamente el acceso de la propiedad D a todos los usuarios excepto el grupo A.
Cuando un usuario intenta tener acceso a la propiedad de un objeto, el sistema comprueba los ACE, en orden, hasta que el acceso solicitado se conceda explícitamente, deniegue o no haya más ACE, en cuyo caso se deniega el acceso implícitamente.
El sistema evalúa:
- ACL que se aplican al propio objeto
- ACL específicas del objeto que se aplican al conjunto de propiedades que contiene la propiedad a la que se accede
- ACL específicas del objeto que se aplican a la propiedad a la que se accede
El sistema omite las ACE específicas del objeto que se aplican a otros conjuntos de propiedades o propiedades.