Condividi tramite


ACL per controllare l'accesso alle proprietà di un oggetto

L'elenco di controllo di accesso discrezionale di un oggetto DS (Directory Service) può contenere una gerarchia di voci di controllo di accesso (ACL), come indicato di seguito:

  1. ACL che proteggono l'oggetto stesso
  2. ACL specifici dell'oggetto che proteggono un set di proprietà specificato nell'oggetto
  3. ACL specifici dell'oggetto che proteggono una proprietà specificata nell'oggetto

All'interno di questa gerarchia, i diritti concessi o negati a un livello superiore si applicano anche ai livelli inferiori. Ad esempio, se un ACE specifico dell'oggetto in un set di proprietà consente a un truste il diritto di ADS_RIGHT_DS_READ_PROP, l'utente attendibile ha l'accesso in lettura implicito a tutte le proprietà di tale set di proprietà. Analogamente, un ACE sull'oggetto stesso che consente l'accesso ADS_RIGHT_DS_READ_PROP consente all'utente attendibile l'accesso in lettura a tutte le proprietà dell'oggetto.

La figura seguente mostra l'albero di un oggetto DS ipotetico e i relativi set di proprietà e proprietà.

gerarchia di oggetti del servizio directory

Si supponga di voler consentire l'accesso seguente alle proprietà di questo oggetto DS:

  • Consenti autorizzazione di lettura/scrittura per tutte le proprietà dell'oggetto
  • Consenti a tutti gli altri utenti l'autorizzazione di lettura/scrittura per tutte le proprietà, ad eccezione di Property D

A tale scopo, impostare gli ACL dell'oggetto nell'elenco dati dell'oggetto, come illustrato nella tabella seguente.

Fiduciario GUID dell'oggetto Tipo ACE Diritti di accesso
Gruppo A Nessuno ACE consentito per l'accesso ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Tutti Set di proprietà 1 ACE dell'oggetto consentito per l'accesso ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Tutti Proprietà C ACE dell'oggetto consentito per l'accesso ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP

 

L'ACE per Group A non dispone di un GUID dell'oggetto, che significa che consente l'accesso a tutte le proprietà dell'oggetto. L'ace specifico dell'oggetto per il set di proprietà 1 consente a tutti l'accesso alle proprietà A e B. L'altro ACE specifico dell'oggetto consente a tutti gli utenti di accedere a Property C. Si noti che, anche se l'ACL non dispone di acl di accesso negato, nega in modo implicito l'accesso alla proprietà D a tutti tranne Group A.

Quando un utente tenta di accedere alla proprietà di un oggetto, il sistema controlla gli ACL, in ordine, fino a quando l'accesso richiesto non viene concesso in modo esplicito, negato o non sono presenti più ACL, nel qual caso l'accesso viene negato in modo implicito.

Il sistema valuta:

  • ACL che si applicano all'oggetto stesso
  • ACL specifici dell'oggetto che si applicano al set di proprietà che contiene la proprietà a cui si accede
  • ACL specifici dell'oggetto che si applicano alla proprietà a cui si accede

Il sistema ignora gli ACL specifici dell'oggetto che si applicano ad altri set di proprietà o proprietà.