Protection des objets et des attributs

Une liste de contrôle d’accès (ACL) protège tous les objets dans services de domaine Active Directory. Les listes de contrôle d’accès déterminent qui peut afficher l’objet, quels attributs ils peuvent lire et quelles actions chaque utilisateur peut effectuer sur l’objet. L’existence d’un objet ou d’un attribut n’est jamais révélée à un utilisateur non autorisé.

Une liste de contrôle d’accès est une liste d’entrées de contrôle d’accès (ACL) stockées avec l’objet qu’elle protège. Dans Windows NT et Windows 2000, une liste de contrôle d’accès est stockée en tant que valeur binaire, appelée descripteur de sécurité. Chaque ACE contient un identificateur de sécurité (SID), qui identifie le principal (utilisateur ou groupe) auquel l’ACE s’applique, et des données sur le type d’accès que l’ACE accorde ou refuse.

Les listes de contrôle d’accès pour les objets d’annuaire contiennent des ACL qui s’appliquent à l’objet dans son ensemble et des ACL qui s’appliquent aux attributs individuels de l’objet. Cela permet à un administrateur de contrôler non seulement les utilisateurs qui peuvent voir un objet, mais également les propriétés que ces utilisateurs peuvent afficher. Par exemple, tous les utilisateurs peuvent se voir accorder un accès en lecture aux attributs de courrier électronique et de numéro de téléphone pour tous les autres utilisateurs, mais les propriétés de sécurité des utilisateurs peuvent être refusées à tous les membres sauf aux membres d’un groupe d’administrateurs de sécurité spécial. Les utilisateurs individuels peuvent se voir accorder un accès en écriture à des attributs personnels tels que les adresses téléphoniques et postales sur leurs propres objets utilisateur.