ACE-tekenreeksen
De security descriptor definition language (SDDL) maakt gebruik van ACE-tekenreeksen in de DACL- en SACL-onderdelen van een beveiligingsdescriptor tekenreeks.
Zoals wordt weergegeven in de Security Descriptor String Format voorbeelden, wordt elke ACE in een beveiligingsdescriptortekenreeks tussen haakjes weergegeven. De velden van de ACE bevinden zich in de volgende volgorde en worden gescheiden door puntkomma's (;).
Notitie
Voorwaardelijke toegangsbeheervermeldingen (ACL's) hebben een andere indeling dan andere ACE-typen. Zie Security Descriptor Definition Language voor voorwaardelijke ACL'svoor voorwaardelijke ACL's voor voorwaardelijke ACL's.
ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)
Velden
-
ace_type
-
Een tekenreeks die de waarde aangeeft van de AceType lid van de ACE_HEADER-structuur. De ACE-typetekenreeks kan een van de volgende tekenreeksen zijn die zijn gedefinieerd in Sddl.h:
ACE-typetekenreeks Constante in Sddl.h AceType-waarde "A" SDDL_ACCESS_ALLOWED ACCESS_ALLOWED_ACE_TYPE "D" SDDL_ACCESS_DENIED ACCESS_DENIED_ACE_TYPE "OA" SDDL_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_OBJECT_ACE_TYPE "OD" SDDL_OBJECT_ACCESS_DENIED ACCESS_DENIED_OBJECT_ACE_TYPE "AU" SDDL_AUDIT SYSTEM_AUDIT_ACE_TYPE "AL" SDDL_ALARM SYSTEM_ALARM_ACE_TYPE "OE" SDDL_OBJECT_AUDIT SYSTEM_AUDIT_OBJECT_ACE_TYPE "OL" SDDL_OBJECT_ALARM SYSTEM_ALARM_OBJECT_ACE_TYPE "ML" SDDL_MANDATORY_LABEL SYSTEM_MANDATORY_LABEL_ACE_TYPE Windows Server 2003: Niet beschikbaar. "XA" SDDL_CALLBACK_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "XD" SDDL_CALLBACK_ACCESS_DENIED ACCESS_DENIED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "RA" SDDL_RESOURCE_ATTRIBUTE SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "SP" SDDL_SCOPED_POLICY_ID SYSTEM_SCOPED_POLICY_ID_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "XU" SDDL_CALLBACK_AUDIT SYSTEM_AUDIT_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "ZA" SDDL_CALLBACK_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "TL" SDDL_PROCESS_TRUST_LABEL SYSTEM_PROCESS_TRUST_LABEL_ACE_TYPE Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "FL" SDDL_ACCESS_FILTER SYSTEM_ACCESS_FILTER_ACE_TYPE Windows Server 2016, Windows 10 versie 1607, Windows 10 versie 1511, Windows 10 versie 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. Notitie
Als ace_type is ACCESS_ALLOWED_OBJECT_ACE_TYPE en object_guid noch inherit_object_guid een GUID- heeft opgegeven, wordt ConvertStringSecurityDescriptorToSecurityDescriptorToSecurityDescriptorace_type geconverteerd naar ACCESS_ALLOWED_ACE_TYPE.
-
ace_flags
-
Een tekenreeks die de waarde aangeeft van de AceFlags lid van de ACE_HEADER structuur. De ACE-vlagtekenreeks kan een samenvoeging zijn van de volgende tekenreeksen die zijn gedefinieerd in Sddl.h:
Tekenreeks met ACE-vlaggen Constante in Sddl.h AceFlag-waarde "CI" SDDL_CONTAINER_INHERIT CONTAINER_INHERIT_ACE "OI" SDDL_OBJECT_INHERIT OBJECT_INHERIT_ACE "NP" SDDL_NO_PROPAGATE NO_PROPAGATE_INHERIT_ACE "IO" SDDL_INHERIT_ONLY INHERIT_ONLY_ACE "Id" SDDL_INHERITED INHERITED_ACE "SA" SDDL_AUDIT_SUCCESS SUCCESSFUL_ACCESS_ACE_FLAG "FA" SDDL_AUDIT_FAILURE FAILED_ACCESS_ACE_FLAG "TP" SDDL_TRUST_PROTECTED_FILTER TRUST_PROTECTED_FILTER_ACE_FLAG Windows Server 2016, Windows 10 versie 1607, Windows 10 versie 1511, Windows 10 versie 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "CR" SDDL_CRITICAL CRITICAL_ACE_FLAG Windows Server versie 1803, Windows 10 versie 1803, Windows Server versie 1709, Windows 10 versie 1709, Windows 10 versie 1703, Windows Server 2016, Windows 10 versie 1607, Windows 10 versie 1511, Windows 10 versie 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. -
rechten
-
Een tekenreeks die de toegangsrechten aangeeft beheerd door de ACE. Deze tekenreeks kan een hexadecimale tekenreeksweergave zijn van de toegangsrechten, zoals '0x7800003F', of een samenvoeging van de volgende tekenreeksen.
Algemene toegangsrechten
Tekenreeks voor toegangsrechten Constante in Sddl.h De juiste waarde van Access "GA" SDDL_GENERIC_ALL GENERIC_ALL "GR" SDDL_GENERIC_READ GENERIC_READ "GW" SDDL_GENERIC_WRITE GENERIC_WRITE "GX" SDDL_GENERIC_EXECUTE GENERIC_EXECUTE Standaardtoegangsrechten
Tekenreeks voor toegangsrechten Constante in Sddl.h De juiste waarde van Access "RC" SDDL_READ_CONTROL READ_CONTROL "SD" SDDL_STANDARD_DELETE VERWIJDEREN "WD" SDDL_WRITE_DAC WRITE_DAC "WO" SDDL_WRITE_OWNER WRITE_OWNER Toegangsrechten voor adreslijstserviceobjecten
Tekenreeks voor toegangsrechten Constante in Sddl.h De juiste waarde van Access "RP" SDDL_READ_PROPERTY ADS_RIGHT_DS_READ_PROP "WP" SDDL_WRITE_PROPERTY ADS_RIGHT_DS_WRITE_PROP "CC" SDDL_CREATE_CHILD ADS_RIGHT_DS_CREATE_CHILD "DC" SDDL_DELETE_CHILD ADS_RIGHT_DS_DELETE_CHILD "LC" SDDL_LIST_CHILDREN ADS_RIGHT_ACTRL_DS_LIST "SW" SDDL_SELF_WRITE ADS_RIGHT_DS_SELF "LO" SDDL_LIST_OBJECT ADS_RIGHT_DS_LIST_OBJECT "DT" SDDL_DELETE_TREE ADS_RIGHT_DS_DELETE_TREE "CR" SDDL_CONTROL_ACCESS ADS_RIGHT_DS_CONTROL_ACCESS Toegangsrechten voor bestanden
Tekenreeks voor toegangsrechten Constante in Sddl.h De juiste waarde van Access "FA" SDDL_FILE_ALL FILE_GENERIC_ALL "FR" SDDL_FILE_READ FILE_GENERIC_READ "FW" SDDL_FILE_WRITE FILE_GENERIC_WRITE "FX" SDDL_FILE_EXECUTE FILE_GENERIC_EXECUTE Toegangsrechten voor registersleutels
Tekenreeks voor toegangsrechten Constante in Sddl.h De juiste waarde van Access "KA" SDDL_KEY_ALL KEY_ALL_ACCESS "KR" SDDL_KEY_READ KEY_READ "KW" SDDL_KEY_WRITE KEY_WRITE "KX" SDDL_KEY_EXECUTE KEY_EXECUTE Verplichte labelrechten
Tekenreeks voor toegangsrechten Constante in Sddl.h De juiste waarde van Access "NR" SDDL_NO_READ_UP SYSTEM_MANDATORY_LABEL_NO_READ_UP Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "NW" SDDL_NO_WRITE_UP SYSTEM_MANDATORY_LABEL_NO_WRITE_UP Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. "NX" SDDL_NO_EXECUTE_UP SYSTEM_MANDATORY_LABEL_NO_EXECUTE_UP Windows Server 2008, Windows Vista en Windows Server 2003: Niet beschikbaar. -
object_guid
-
Een tekenreeksweergave van een GUID die de waarde aangeeft van het ObjectType lid van een objectspecifieke ACE-structuur, zoals ACCESS_ALLOWED_OBJECT_ACE. De GUID-tekenreeks maakt gebruik van de indeling die wordt geretourneerd door de UuidToString functie.
De volgende tabel bevat enkele veelgebruikte object-GUID's:
Rechten en GUID Toestemming CR; ab721a53-1e2f-11d0-9819-00aa0040529b Wachtwoord wijzigen CR; 00299570-246d-11d0-a768-00aa006e0529 Wachtwoord opnieuw instellen -
inherit_object_guid
-
Een tekenreeksweergave van een GUID die de waarde aangeeft van de InheritedObjectType lid van een objectspecifieke ACE-structuur. De GUID-tekenreeks maakt gebruik van de UuidToString--indeling.
-
account_sid
-
SID-tekenreeks die de beheerder van de ACE identificeert.
-
resource_attribute
-
[OPTIONEEL] De resource_attribute is alleen voor resource-ACL's en is optioneel. Een tekenreeks die het gegevenstype aangeeft. Het gegevenstype resourcekenmerk ace kan een van de volgende gegevenstypen zijn die zijn gedefinieerd in Sddl.h.
Het teken '#' staat voor '0' in resourcekenmerken. Bijvoorbeeld D:AI(XA; OICI;FA;; Witte dwerg; (OctetStringType==#1#2#3##)) is gelijk aan en geïnterpreteerd als D:AI(XA; OICI;FA;; Witte dwerg; (OctetStringType==#01020300)).
Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista en Windows Server 2003: resourcekenmerken zijn niet beschikbaar.
Tekenreeks van het resourcekenmerk ace-gegevenstype Constante in Sddl.h Gegevenstype "TI" SDDL_INT Ondertekend geheel getal "TU" SDDL_UINT Niet-ondertekend geheel getal "TS" SDDL_WSTRING Brede tekenreeks "TD" SDDL_SID SID "TX" SDDL_BLOB Octettekenreeks "TB" SDDL_BOOLEAN Booleaans
In het volgende voorbeeld ziet u een ACE-tekenreeks voor een toegangsrechten-ACE. Het is geen objectspecifieke ACE, dus het bevat geen informatie in de velden object_guid en inherit_object_guid. Het ace_flags veld is ook leeg, wat aangeeft dat geen van de ACE-vlaggen is ingesteld.
(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-1-0)
De ACE-tekenreeks die hierboven wordt weergegeven, beschrijft de volgende ACE-informatie.
AceType: 0x00 (ACCESS_ALLOWED_ACE_TYPE)
AceFlags: 0x00
Access Mask: 0x100e003f
READ_CONTROL
WRITE_DAC
WRITE_OWNER
GENERIC_ALL
Other access rights(0x0000003f)
Ace Sid : (S-1-1-0)
In het volgende voorbeeld ziet u een bestand dat is geclassificeerd met resourceclaims voor Windows en Structured Query Language (SQL) met geheimhouding ingesteld op High Business Impact.
(RA;CI;;;;S-1-1-0; ("Project",TS,0,"Windows","SQL"))
(RA;CI;;;;S-1-1-0; ("Secrecy",TU,0,3))
De ACE-tekenreeks die hierboven wordt weergegeven, beschrijft de volgende ACE-informatie.
AceType: 0x12 (SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE)
AceFlags: 0x1 (SDDL_CONTAINER_INHERIT)
Access Mask: 0x0
Ace Sid : (S-1-1-0)
Resource Attributes: Project has the strings Windows and SQL, Secrecy has the unsigned int value of 3
Zie Security Descriptor String Format en SID Stringsvoor meer informatie. Zie Security Descriptor Definition Language voor voorwaardelijke ACL'svoor voorwaardelijke ACL's voor voorwaardelijke ACL's.