オブジェクトと属性の保護

アクセス制御リスト (ACL) は、Active Directory ドメイン サービス内のすべてのオブジェクトを保護します。 ACL は、オブジェクトを表示できるユーザー、読み取ることができる属性、および各ユーザーがオブジェクトに対して実行できるアクションを決定します。 オブジェクトまたは属性の存在は、承認されていないユーザーには表示されません。

ACL は、保護するオブジェクトと共に格納されるアクセス制御エントリ (ACE) の一覧です。 Windows NT および Windows 2000 では、ACL はセキュリティ記述子と呼ばれるバイナリ値として格納されます。 各 ACE には、ACE が適用されるプリンシパル (ユーザーまたはグループ) と、ACE が許可または拒否するアクセスの種類に関するデータを識別するセキュリティ識別子 (SID) が含まれています。

ディレクトリ オブジェクトの ACL には、オブジェクト全体に適用される ACE と、オブジェクトの個々の属性に適用される ACE が含まれます。 これにより、管理者はオブジェクトを表示できるユーザーだけでなく、ユーザーが表示できるプロパティも制御できます。 たとえば、すべてのユーザーに、他のすべてのユーザーの電子メール属性と電話番号属性への読み取りアクセス権が付与されますが、特別なセキュリティ管理者グループのメンバーを除くすべてのユーザーに対して、ユーザーのセキュリティ プロパティが拒否される可能性があります。 個々のユーザーには、自分のユーザー オブジェクトの電話や郵送先住所などの個人属性への書き込みアクセス権が付与される場合があります。