Compartilhar via


ACEs para controlar o acesso às propriedades de um objeto

A lista de controle de acesso discricionário (DACL) de um objeto de serviço de diretório (DS) pode conter uma hierarquia de entradas de controle de acesso (ACEs), da seguinte maneira:

  1. ACEs que protegem o próprio objeto
  2. ACEs específicas do objeto que protegem um conjunto de propriedades especificado no objeto
  3. ACEs específicas de objeto que protegem uma propriedade especificada no objeto

Dentro dessa hierarquia, os direitos concedidos ou negados em um nível mais alto também se aplicam aos níveis inferiores. Por exemplo, se um ACE específico do objeto em um conjunto de propriedades permitir a um administrador o direito de ADS_RIGHT_DS_READ_PROP, o administrador terá acesso de leitura implícito a todas as propriedades desse conjunto de propriedades. Da mesma forma, um ACE no próprio objeto que permite acesso ADS_RIGHT_DS_READ_PROP fornece ao administrador acesso de leitura a todas as propriedades do objeto.

A ilustração a seguir mostra a árvore de um objeto DS hipotético e seus conjuntos de propriedades e propriedades.

hierarquia de objetos de serviço de diretório

Suponha que você queira permitir o seguinte acesso às propriedades deste objeto DS:

  • Permitir permissão de leitura/gravação do Grupo A para todas as propriedades do objeto
  • Permitir que todos os outros tenham permissão de leitura/gravação para todas as propriedades, exceto a Propriedade D

Para fazer isso, defina as ACEs no DACL do objeto, conforme mostrado na tabela a seguir.

Fiduciário GUID do objeto Tipo ace Direitos de acesso
Agrupar A Nenhum ACE com permissão de acesso ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Todos Conjunto de Propriedades 1 ACE de objeto permitido pelo acesso ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Todos Propriedade C ACE de objeto permitido pelo acesso ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP

 

O ACE para o Grupo A não tem um GUID de objeto, o que significa que ele permite o acesso a todas as propriedades do objeto. O ACE específico do objeto para o Conjunto de Propriedades 1 permite que todos acessem as Propriedades A e B. O outro ACE específico do objeto permite que todos acessem a Propriedade C. Observe que, embora essa DACL não tenha acEs negados pelo acesso, ela nega implicitamente o acesso à Propriedade D a todos, exceto ao Grupo A.

Quando um usuário tenta acessar a propriedade de um objeto, o sistema verifica as ACEs, em ordem, até que o acesso solicitado seja concedido explicitamente, negado ou não haja mais ACEs, nesse caso, o acesso é negado implicitamente.

O sistema avalia:

  • ACEs que se aplicam ao próprio objeto
  • ACEs específicas de objeto que se aplicam ao conjunto de propriedades que contém a propriedade que está sendo acessada
  • ACEs específicas de objeto que se aplicam à propriedade que está sendo acessada

O sistema ignora ACEs específicas de objeto que se aplicam a outros conjuntos de propriedades ou propriedades.