ACE-Zeichenfolgen

Die Sicherheitsdeskriptordefinitionssprache (Security Descriptor Definition Language , SDDL) verwendet ACE-Zeichenfolgen in den DACL- und SACL-Komponenten einer Sicherheitsdeskriptorzeichenfolge .

Wie in den Beispielen für das Sicherheitsdeskriptorzeichenfolgenformat gezeigt, wird jeder ACE in einer Sicherheitsdeskriptorzeichenfolge in Klammern eingeschlossen. Die Felder des ACE haben die folgende Reihenfolge und sind durch Semikolons (;).

Hinweis

Einträge für die bedingte Zugriffssteuerung (Conditional Access Control, ACEs) haben ein anderes Format als andere ACE-Typen. Informationen zu bedingten ACEs finden Sie unter Sicherheitsdeskriptordefinitionssprache für bedingte ACEs.

ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)

Felder

ace_type

Eine Zeichenfolge, die den Wert des AceType-Elements der ACE_HEADER-Struktur angibt. Die ACE-Typzeichenfolge kann eine der folgenden in Sddl.h definierten Zeichenfolgen sein:

ACE-Typzeichenfolge Konstante in Sddl.h AceType-Wert
„A“ SDDL_ACCESS_ALLOWED ACCESS_ALLOWED_ACE_TYPE
"D" SDDL_ACCESS_DENIED ACCESS_DENIED_ACE_TYPE
"OA" SDDL_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_OBJECT_ACE_TYPE
"OD" SDDL_OBJECT_ACCESS_DENIED ACCESS_DENIED_OBJECT_ACE_TYPE
"AU" SDDL_AUDIT SYSTEM_AUDIT_ACE_TYPE
"AL" SDDL_ALARM SYSTEM_ALARM_ACE_TYPE
"OU" SDDL_OBJECT_AUDIT SYSTEM_AUDIT_OBJECT_ACE_TYPE
"OL" SDDL_OBJECT_ALARM SYSTEM_ALARM_OBJECT_ACE_TYPE
"ML" SDDL_MANDATORY_LABEL SYSTEM_MANDATORY_LABEL_ACE_TYPE Windows Server 2003: Nicht verfügbar.
"XA" SDDL_CALLBACK_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"XD" SDDL_CALLBACK_ACCESS_DENIED ACCESS_DENIED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"RA" SDDL_RESOURCE_ATTRIBUTE SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"SP" SDDL_SCOPED_POLICY_ID SYSTEM_SCOPED_POLICY_ID_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"XU" SDDL_CALLBACK_AUDIT SYSTEM_AUDIT_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"ZA" SDDL_CALLBACK_OBJECT_ACCESS_ALLOWED ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"TL" SDDL_PROCESS_TRUST_LABEL SYSTEM_PROCESS_TRUST_LABEL_ACE_TYPE Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"FL" SDDL_ACCESS_FILTER SYSTEM_ACCESS_FILTER_ACE_TYPE Windows Server 2016, Windows 10 Version 1607, Windows 10 Version 1511, Windows 10 Version 1507, Windows Server 2012 R2, Windows 8.1 Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.

Hinweis

Wenn ace_type ACCESS_ALLOWED_OBJECT_ACE_TYPE ist und weder object_guid noch inherit_object_guid eine GUID angegeben ist, konvertiert ConvertStringSecurityDescriptorToSecurityDescriptorToSecurityDescriptorace_type in ACCESS_ALLOWED_ACE_TYPE.

ace_flags

Eine Zeichenfolge, die den Wert des AceFlags-Elements der ACE_HEADER-Struktur angibt. Die ACE-Flags-Zeichenfolge kann eine Verkettung der folgenden in Sddl.h definierten Zeichenfolgen sein:

ACE-Flags-Zeichenfolge Konstante in Sddl.h AceFlag-Wert
"CI" SDDL_CONTAINER_INHERIT CONTAINER_INHERIT_ACE
"OI" SDDL_OBJECT_INHERIT OBJECT_INHERIT_ACE
"NP" SDDL_NO_PROPAGATE NO_PROPAGATE_INHERIT_ACE
"E/A" SDDL_INHERIT_ONLY INHERIT_ONLY_ACE
„ID“ SDDL_INHERITED INHERITED_ACE
"SA" SDDL_AUDIT_SUCCESS SUCCESSFUL_ACCESS_ACE_FLAG
"FA" SDDL_AUDIT_FAILURE FAILED_ACCESS_ACE_FLAG
"TP" SDDL_TRUST_PROTECTED_FILTER TRUST_PROTECTED_FILTER_ACE_FLAG Windows Server 2016, Windows 10 Version 1607, Windows 10 Version 1511, Windows 10 Version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"CR" SDDL_CRITICAL CRITICAL_ACE_FLAG Windows Server Version 1803, Windows 10 Version 1803, Windows Server Version 1709, Windows 10 Version 1709, Windows 10 Version 1703, Windows Server 2016, Windows 10 Version 1607, Windows 10 Version 1511, Windows 10 Version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.

Rechte

Eine Zeichenfolge, die die vom ACE kontrollierten Zugriffsrechte angibt. Diese Zeichenfolge kann eine hexadezimale Zeichenfolgendarstellung der Zugriffsrechte sein, z. B. "0x7800003F", oder es kann sich um eine Verkettung der folgenden Zeichenfolgen handeln.

Generische Zugriffsrechte

Zeichenfolge für Zugriffsrechte Konstante in Sddl.h Zugriffsrechtwert
"GA" SDDL_GENERIC_ALL GENERIC_ALL
"GR" SDDL_GENERIC_READ GENERIC_READ
"GW" SDDL_GENERIC_WRITE GENERIC_WRITE
"GX" SDDL_GENERIC_EXECUTE GENERIC_EXECUTE

Standardzugriffsrechte

Zeichenfolge für Zugriffsrechte Konstante in Sddl.h Zugriffsrechtwert
"RC" SDDL_READ_CONTROL READ_CONTROL
"SD" SDDL_STANDARD_DELETE DELETE
"WD" SDDL_WRITE_DAC WRITE_DAC
"WO" SDDL_WRITE_OWNER WRITE_OWNER

Zugriffsrechte für Verzeichnisdienstobjekte

Zeichenfolge für Zugriffsrechte Konstante in Sddl.h Zugriffsrechtwert
"RP" SDDL_READ_PROPERTY ADS_RIGHT_DS_READ_PROP
"WP" SDDL_WRITE_PROPERTY ADS_RIGHT_DS_WRITE_PROP
"CC" SDDL_CREATE_CHILD ADS_RIGHT_DS_CREATE_CHILD
"DC" SDDL_DELETE_CHILD ADS_RIGHT_DS_DELETE_CHILD
"LC" SDDL_LIST_CHILDREN ADS_RIGHT_ACTRL_DS_LIST
"SW" SDDL_SELF_WRITE ADS_RIGHT_DS_SELF
"LO" SDDL_LIST_OBJECT ADS_RIGHT_DS_LIST_OBJECT
"DT" SDDL_DELETE_TREE ADS_RIGHT_DS_DELETE_TREE
"CR" SDDL_CONTROL_ACCESS ADS_RIGHT_DS_CONTROL_ACCESS

Dateizugriffsrechte

Zeichenfolge für Zugriffsrechte Konstante in Sddl.h Zugriffsrechtwert
"FA" SDDL_FILE_ALL FILE_GENERIC_ALL
"FR" SDDL_FILE_READ FILE_GENERIC_READ
"FW" SDDL_FILE_WRITE FILE_GENERIC_WRITE
"FX" SDDL_FILE_EXECUTE FILE_GENERIC_EXECUTE

Zugriffsberechtigungen für Registrierungsschlüssel

Zeichenfolge für Zugriffsrechte Konstante in Sddl.h Zugriffsrechtwert
"KA" SDDL_KEY_ALL KEY_ALL_ACCESS
"KR" SDDL_KEY_READ KEY_READ
"KW" SDDL_KEY_WRITE KEY_WRITE
"KX" SDDL_KEY_EXECUTE KEY_EXECUTE

Obligatorische Bezeichnungsrechte

Zeichenfolge für Zugriffsrechte Konstante in Sddl.h Zugriffsrechtwert
"NR" SDDL_NO_READ_UP SYSTEM_MANDATORY_LABEL_NO_READ_UP Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"NW" SDDL_NO_WRITE_UP SYSTEM_MANDATORY_LABEL_NO_WRITE_UP Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"NX" SDDL_NO_EXECUTE_UP SYSTEM_MANDATORY_LABEL_NO_EXECUTE_UP Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.

object_guid

Eine Zeichenfolgendarstellung einer GUID, die den Wert des ObjectType-Elements einer objektspezifischen ACE-Struktur angibt, z. B. ACCESS_ALLOWED_OBJECT_ACE. Die GUID-Zeichenfolge verwendet das format, das von der UuidToString-Funktion zurückgegeben wird.

In der folgenden Tabelle sind einige häufig verwendete Objekt-GUIDs aufgeführt:

Rechte und GUID Berechtigung
CR;ab721a53-1e2f-11d0-9819-00aa0040529b Kennwort ändern
CR;00299570-246d-11d0-a768-00aa006e0529 Kennwort zurücksetzen

inherit_object_guid

Eine Zeichenfolgendarstellung einer GUID, die den Wert des InheritedObjectType-Elements einer objektspezifischen ACE-Struktur angibt. Die GUID-Zeichenfolge verwendet das UuidToString-Format .

account_sid

SID-Zeichenfolge , die den Treuhänder des ACE identifiziert.

resource_attribute

[OPTIONAL] Die resource_attribute gilt nur für Ressourcen-ACEs und ist optional. Eine Zeichenfolge, die den Datentyp angibt. Der Ace-Datentyp des Ressourcenattributes kann einer der folgenden Datentypen sein, die in "Sddl.h" definiert sind.

Das Zeichen "#" ist synonym mit "0" in Ressourcenattributen. Beispiel: D:AI(XA;OICI;FA;;; WD;(OctetStringType==#1#2#3###)) entspricht und wird als D:AI(XA;OICI;FA;;; WD;(OctetStringType==#01020300)).

Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Ressourcenattribute sind nicht verfügbar.

Ace-Datentypzeichenfolge des Ressourcenattributes Konstante in Sddl.h Datentyp
"TI" SDDL_INT Ganze Zahl mit Vorzeichen
"TU" SDDL_UINT Ganze Zahl ohne Vorzeichen
"TS" SDDL_WSTRING Breite Zeichenfolge
"TD" SDDL_SID SID
"TX" SDDL_BLOB Oktettzeichenfolge
"TB" SDDL_BOOLEAN Boolesch

Das folgende Beispiel zeigt eine ACE-Zeichenfolge für einen zugriffsgeschützten ACE.The following example shows an ACE string for an access-allowed. Es handelt sich nicht um einen objektspezifischen ACE, sodass keine Informationen in den Feldern object_guid und inherit_object_guid enthalten sind. Das Feld ace_flags ist ebenfalls leer, was angibt, dass keines der ACE-Flags festgelegt ist.

(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-1-0)

Die oben gezeigte ACE-Zeichenfolge beschreibt die folgenden ACE-Informationen.

AceType:       0x00 (ACCESS_ALLOWED_ACE_TYPE)
AceFlags:      0x00
Access Mask:   0x100e003f
                    READ_CONTROL
                    WRITE_DAC
                    WRITE_OWNER
                    GENERIC_ALL
                    Other access rights(0x0000003f)
Ace Sid      : (S-1-1-0)

Das folgende Beispiel zeigt eine Datei, die mit Ressourcenansprüchen für Windows und strukturierte Abfragesprache (SQL) klassifiziert ist, wobei Die Geheimhaltung auf "Hohe geschäftliche Auswirkungen" festgelegt ist.

(RA;CI;;;;S-1-1-0; ("Project",TS,0,"Windows","SQL")) 
(RA;CI;;;;S-1-1-0; ("Secrecy",TU,0,3))

Die oben gezeigte ACE-Zeichenfolge beschreibt die folgenden ACE-Informationen.

AceType:       0x12 (SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE)
AceFlags:      0x1  (SDDL_CONTAINER_INHERIT)
Access Mask:   0x0
Ace Sid      : (S-1-1-0)
Resource Attributes: Project has the strings Windows and SQL, Secrecy has the unsigned int value of 3

Weitere Informationen finden Sie unter Zeichenfolgenformat für Sicherheitsdeskriptor und SID-Zeichenfolgen. Informationen zu bedingten ACEs finden Sie unter Sicherheitsdeskriptordefinitionssprache für bedingte ACEs.

Siehe auch

[MS-DTYP]: Beschreibungssprache für sicherheitsdeskriptor