AcEs do kontrolowania dostępu do właściwości obiektu
Lista kontroli dostępu dyskrecjonalnych (DACL) obiektu usługi katalogowej (DS) może zawierać hierarchię wpisów kontroli dostępu (ACL), w następujący sposób:
- AcEs, które chronią sam obiekt
- ACE specyficzne dla obiektu, które chronią określoną właściwość ustawioną na obiekcie
- ACE specyficzne dla obiektu, które chronią określoną właściwość obiektu
W tej hierarchii prawa przyznane lub odrzucone na wyższym poziomie mają zastosowanie również do niższych poziomów. Jeśli na przykład właściwość ACE specyficzna dla obiektu w zestawie właściwości zezwala na zaufanie ADS_RIGHT_DS_READ_PROP prawo, powiernik ma niejawny dostęp do odczytu do wszystkich właściwości tego zestawu właściwości. Podobnie, ACE na samym obiekcie, który umożliwia ADS_RIGHT_DS_READ_PROP dostęp, daje powiernikowi dostęp do odczytu do wszystkich właściwości obiektu.
Poniższa ilustracja przedstawia drzewo hipotetycznego obiektu DS oraz jego zestawów właściwości i właściwości.
Załóżmy, że chcesz zezwolić na następujący dostęp do właściwości tego obiektu DS:
- Zezwalaj na uprawnienie do odczytu/zapisu grupy do wszystkich właściwości obiektu
- Zezwalaj wszystkim innym osobom na uprawnienia do odczytu/zapisu do wszystkich właściwości z wyjątkiem właściwości D
W tym celu ustaw wartości ACL obiektu na liście DACL obiektu, jak pokazano w poniższej tabeli.
Powiernik | Identyfikator GUID obiektu | Typ ACE | Prawa dostępu |
---|---|---|---|
Grupa A | Żaden | Dostęp dozwolony ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
Każdy | Zestaw właściwości 1 | Dostęp do obiektu ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
Każdy | Właściwość C | Dostęp do obiektu ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
ACE dla grupy A nie ma identyfikatora GUID obiektu, co oznacza, że umożliwia dostęp do wszystkich właściwości obiektu. Właściwość ACE specyficzna dla obiektu dla zestawu właściwości 1 umożliwia wszystkim dostęp do właściwości A i B. Inne ACE specyficzne dla obiektu zezwala wszystkim na dostęp do właściwości C. Należy pamiętać, że chociaż ta lista DACL nie ma żadnych niedozwolonych kontroli dostępu, niejawnie odrzuca dostęp właściwości D do wszystkich z wyjątkiem grupy A.
Gdy użytkownik próbuje uzyskać dostęp do właściwości obiektu, system sprawdza acEs w kolejności, dopóki żądany dostęp nie zostanie jawnie udzielony, odrzucony lub nie ma więcej kontroli dostępu, w tym przypadku dostęp jest niejawnie odrzucany.
System ocenia:
- ACL, które mają zastosowanie do samego obiektu
- ACE specyficzne dla obiektu, które mają zastosowanie do zestawu właściwości zawierającego dostęp do właściwości
- ACE specyficzne dla obiektu, które mają zastosowanie do właściwości, do których uzyskuje się dostęp
System ignoruje specyficzne dla obiektu ACL, które mają zastosowanie do innych zestawów właściwości lub właściwości.