Proteção de objetos e atributos

Uma lista de controle de acesso (ACL) protege todos os objetos nos Serviços de Domínio Active Directory. As ACLs determinam quem pode exibir o objeto, quais atributos podem ler e quais ações cada usuário pode executar no objeto. A existência de um objeto ou atributo nunca é revelada a um usuário não autorizado.

Uma ACL é uma lista de entradas de controle de acesso (ACEs) armazenadas com o objeto que ela protege. No Windows NT e Windows 2000, uma ACL é armazenada como um valor binário, chamado um descritor de segurança. Cada ACE contém um identificador de segurança (SID), que identifica a entidade de segurança (usuário ou grupo) a quem a ACE se aplica e dados sobre o tipo de acesso que a ACE concede ou nega.

ACLs para objetos de diretório contêm ACEs que se aplicam ao objeto como um todo e ACEs que se aplicam aos atributos individuais do objeto. Isso permite que um administrador controle não apenas quais usuários podem ver um objeto, mas também quais propriedades esses usuários podem exibir. Por exemplo, todos os usuários podem receber acesso de leitura aos atributos de email e número de telefone para todos os outros usuários, mas as propriedades de segurança dos usuários podem ser negadas a todos, exceto aos membros de um grupo especial de administradores de segurança. Usuários individuais podem receber acesso de gravação a atributos pessoais, como endereços de telefone e correspondência em seus próprios objetos de usuário.