AcEs для управления доступом к свойствам объекта
Списокуправления доступом(DACL) объекта службы каталогов (DS) может содержать иерархию записей управления доступом (ACES), как показано ниже.
- AcEs, которые защищают сам объект
- для определенных объектов, которые защищают указанный набор свойств для объекта.
- AcEs, зависящие от объекта, которые защищают указанное свойство в объекте
В этой иерархии права, предоставленные или отклоненные на более высоком уровне, применяются также к более низким уровням. Например, если объектный ACE в наборе свойств позволяет доверенному лицу ADS_RIGHT_DS_READ_PROP право, доверенное лицо имеет неявный доступ на чтение ко всем свойствам этого набора свойств. Аналогичным образом, ACE на самом объекте, который позволяет ADS_RIGHT_DS_READ_PROP доступ предоставляет доверенному лицу доступ на чтение ко всем свойствам объекта.
На следующем рисунке показано дерево гипотетического объекта DS и его наборов свойств и свойств.
иерархия объектов службы каталогов 
Предположим, вы хотите разрешить следующий доступ к свойствам этого объекта DS:
- Разрешение на чтение и запись группы A для всех свойств объекта
- Разрешить всем остальным разрешения на чтение и запись для всех свойств, кроме свойства D
Для этого задайте acEs в DACL объекта, как показано в следующей таблице.
| Попечитель | GUID объекта | Тип ACE | Права доступа |
|---|---|---|---|
| Группа A | Никакой | Доступ разрешенного ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Каждый | Набор свойств 1 | Доступ разрешенного объекта ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Каждый | Свойство C | Доступ разрешенного объекта ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
ACE для группы A не имеет GUID объекта, что означает, что он разрешает доступ ко всем свойствам объекта. Объект ACE для набора свойств 1 позволяет всем пользователям получать доступ к свойствам A и B. Другой объект ACE позволяет всем пользователям получать доступ к свойству C. Обратите внимание, что хотя этот DACL не имеет доступ к доступу, запрещенным доступом, он неявно запрещает доступ к свойствам D для всех, кроме группы A.
Когда пользователь пытается получить доступ к свойству объекта, система проверяет acEs, в порядке, пока запрошенный доступ не будет явно предоставлен, запрещен или нет больше acEs, в этом случае доступ неявно запрещен.
Система оценивает:
- AcEs, которые применяются к самому объекту
- AcEs, относящиеся к набору свойств, содержащим доступ к свойству, к которому осуществляется доступ.
- AcEs, применяемые к доступу к свойству, к которому осуществляется доступ, зависят от объекта.
Система игнорирует определенные объекты УПРАВЛЕНИЯ, которые применяются к другим наборам свойств или свойствам.