Udostępnij za pośrednictwem


AcEs do kontrolowania dostępu do właściwości obiektu

Lista kontroli dostępu dyskrecjonalnych (DACL) obiektu usługi katalogowej (DS) może zawierać hierarchię wpisów kontroli dostępu (ACL), w następujący sposób:

  1. AcEs, które chronią sam obiekt
  2. ACE specyficzne dla obiektu, które chronią określoną właściwość ustawioną na obiekcie
  3. ACE specyficzne dla obiektu, które chronią określoną właściwość obiektu

W tej hierarchii prawa przyznane lub odrzucone na wyższym poziomie mają zastosowanie również do niższych poziomów. Jeśli na przykład właściwość ACE specyficzna dla obiektu w zestawie właściwości zezwala na zaufanie ADS_RIGHT_DS_READ_PROP prawo, powiernik ma niejawny dostęp do odczytu do wszystkich właściwości tego zestawu właściwości. Podobnie, ACE na samym obiekcie, który umożliwia ADS_RIGHT_DS_READ_PROP dostęp, daje powiernikowi dostęp do odczytu do wszystkich właściwości obiektu.

Poniższa ilustracja przedstawia drzewo hipotetycznego obiektu DS oraz jego zestawów właściwości i właściwości.

hierarchii obiektów usługi katalogowej

Załóżmy, że chcesz zezwolić na następujący dostęp do właściwości tego obiektu DS:

  • Zezwalaj na uprawnienie do odczytu/zapisu grupy do wszystkich właściwości obiektu
  • Zezwalaj wszystkim innym osobom na uprawnienia do odczytu/zapisu do wszystkich właściwości z wyjątkiem właściwości D

W tym celu ustaw wartości ACL obiektu na liście DACL obiektu, jak pokazano w poniższej tabeli.

Powiernik Identyfikator GUID obiektu Typ ACE Prawa dostępu
Grupa A Żaden Dostęp dozwolony ACE ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Każdy Zestaw właściwości 1 Dostęp do obiektu ACE ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Każdy Właściwość C Dostęp do obiektu ACE ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP

 

ACE dla grupy A nie ma identyfikatora GUID obiektu, co oznacza, że umożliwia dostęp do wszystkich właściwości obiektu. Właściwość ACE specyficzna dla obiektu dla zestawu właściwości 1 umożliwia wszystkim dostęp do właściwości A i B. Inne ACE specyficzne dla obiektu zezwala wszystkim na dostęp do właściwości C. Należy pamiętać, że chociaż ta lista DACL nie ma żadnych niedozwolonych kontroli dostępu, niejawnie odrzuca dostęp właściwości D do wszystkich z wyjątkiem grupy A.

Gdy użytkownik próbuje uzyskać dostęp do właściwości obiektu, system sprawdza acEs w kolejności, dopóki żądany dostęp nie zostanie jawnie udzielony, odrzucony lub nie ma więcej kontroli dostępu, w tym przypadku dostęp jest niejawnie odrzucany.

System ocenia:

  • ACL, które mają zastosowanie do samego obiektu
  • ACE specyficzne dla obiektu, które mają zastosowanie do zestawu właściwości zawierającego dostęp do właściwości
  • ACE specyficzne dla obiektu, które mają zastosowanie do właściwości, do których uzyskuje się dostęp

System ignoruje specyficzne dla obiektu ACL, które mają zastosowanie do innych zestawów właściwości lub właściwości.