ACL per controllare l'accesso alle proprietà di un oggetto
L'elenco di controllo di accesso discrezionale (DACL) di un oggetto servizio directory può contenere una gerarchia di voci di controllo di accesso (ACL), come indicato di seguito:
- ACL che proteggono l'oggetto stesso
- ACL specifici dell'oggetto che proteggono una proprietà specificata impostata nell'oggetto
- ACL specifici dell'oggetto che proteggono una proprietà specificata nell'oggetto
All'interno di questa gerarchia, i diritti concessi o negati a un livello superiore si applicano anche ai livelli inferiori. Ad esempio, se un ace specifico dell'oggetto in un set di proprietà consente a un trustee il diritto di ADS_RIGHT_DS_READ_PROP, il trustee ha accesso in lettura implicito a tutte le proprietà di tale set di proprietà. Analogamente, un ace sull'oggetto stesso che consente l'accesso ADS_RIGHT_DS_READ_PROP concede all'utente attendibile l'accesso in lettura a tutte le proprietà dell'oggetto.
La figura seguente mostra l'albero di un oggetto DS ipotetico e i relativi set di proprietà e proprietà.
Si supponga di voler consentire l'accesso seguente alle proprietà di questo oggetto DS:
- Consenti autorizzazione di lettura/scrittura a gruppo per tutte le proprietà dell'oggetto
- Consenti a tutti gli altri utenti l'autorizzazione di lettura/scrittura per tutte le proprietà ad eccezione di Property D
A tale scopo, impostare gli ACL nell'elenco DACL dell'oggetto, come illustrato nella tabella seguente.
| Fiduciario | GUID oggetto | Tipo ACE | Diritti di accesso |
|---|---|---|---|
| Gruppo A | Nessuno | Ace consentito dall'accesso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Ciascuno | Set di proprietà 1 | Ace oggetto consentito dall'accesso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Ciascuno | Proprietà C | Ace oggetto consentito dall'accesso | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
L'ace per il gruppo A non dispone di un GUID oggetto, il che significa che consente l'accesso a tutte le proprietà dell'oggetto. L'ace specifico dell'oggetto per il set di proprietà 1 consente a tutti di accedere alle proprietà A e B. L'altra ACE specifica dell'oggetto consente a tutti gli utenti di accedere alla proprietà C. Si noti che, anche se questo DACL non dispone di AA di accesso negato, nega implicitamente l'accesso alla proprietà D a tutti tranne il gruppo A.
Quando un utente tenta di accedere alla proprietà di un oggetto, il sistema controlla gli ACL, in ordine, fino a quando l'accesso richiesto non viene concesso in modo esplicito, negato o non sono presenti altri ACL, nel qual caso l'accesso viene negato in modo implicito.
Il sistema valuta:
- ACL che si applicano all'oggetto stesso
- ACL specifici dell'oggetto che si applicano al set di proprietà che contiene la proprietà a cui si accede
- ACL specifici dell'oggetto che si applicano alla proprietà a cui si accede
Il sistema ignora gli ACL specifici dell'oggetto che si applicano ad altri set di proprietà o proprietà.