Защита объектов и атрибутов

Список управления доступом (ACL) защищает все объекты в службах домен Active Directory. Списки управления доступом определяют, кто может просматривать объект, какие атрибуты они могут читать, и какие действия могут выполнять каждый пользователь в объекте. Существование объекта или атрибута никогда не отображается несанкционированным пользователем.

ACL — это список записей управления доступом ( ACEs), хранящихся с объектом, который он защищает. В Windows NT и Windows 2000 ACL хранится в виде двоичного значения, называемого дескриптором безопасности. Каждый ACE содержит идентификатор безопасности (SID), который определяет участника (пользователя или группы), к которому применяется ACE, и данные о том, какой тип доступа ACE предоставляет или запрещает.

Списки управления доступом для объектов каталогов содержат acEs, которые применяются к объекту в целом и acEs, которые применяются к отдельным атрибутам объекта. Это позволяет администратору управлять не только тем, какие пользователи могут видеть объект, но и какие свойства пользователи могут просматривать. Например, всем пользователям может быть предоставлен доступ на чтение к атрибутам электронной почты и номера телефонов для всех остальных пользователей, но свойства безопасности пользователей могут быть отклонены всем, кроме членов специальной группы администраторов безопасности. Отдельным пользователям может быть предоставлен доступ на запись к личным атрибутам, таким как телефонные и почтовые адреса на собственных объектах пользователей.