ACEs zum Steuern des Zugriffs auf die Eigenschaften eines Objekts
Die diskretionäre Zugriffssteuerungsliste (DACL) eines Verzeichnisdienstobjekts kann eine Hierarchie von Zugriffssteuerungseinträgen (ACEs) wie folgt enthalten:
- ACEs, die das Objekt selbst schützen
- Objektspezifische ACEs , die einen angegebenen Eigenschaftssatz für das Objekt schützen
- Objektspezifische ACEs, die eine angegebene Eigenschaft für das Objekt schützen
Innerhalb dieser Hierarchie gelten die Auf einer höheren Ebene gewährten oder verweigerten Rechte auch für die unteren Ebenen. Wenn beispielsweise ein objektspezifischer ACE für einen Eigenschaftensatz einem Vertrauenshänder das ADS_RIGHT_DS_READ_PROP Recht zulässt, hat der Treuhänder impliziten Lesezugriff auf alle Eigenschaften dieses Eigenschaftensatzes. Ebenso ermöglicht ein ACE für das Objekt selbst, das ADS_RIGHT_DS_READ_PROP Zugriff ermöglicht, dem Vertrauenshänder Lesezugriff auf alle Eigenschaften des Objekts.
Die folgende Abbildung zeigt die Struktur eines hypothetischen DS-Objekts und dessen Eigenschaftensätze und Eigenschaften.
Angenommen, Sie möchten den folgenden Zugriff auf die Eigenschaften dieses DS-Objekts zulassen:
- Zulassen der Lese-/Schreibberechtigung für Gruppe A für alle Eigenschaften des Objekts
- Zulassen der Lese-/Schreibberechtigung für alle Eigenschaften außer Eigenschaft D
Legen Sie dazu die ACEs in der DACL des Objekts wie in der folgenden Tabelle dargestellt fest.
Treuhänder | Objekt-GUID | ACE-Typ | Zugriffsrechte |
---|---|---|---|
Gruppe A | Keine | Zugriffsgeschützter ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
Jeder | Eigenschaftssatz 1 | Zugriffsberechtigtes Objekt ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
Jeder | Eigenschaft C | Zugriffsberechtigtes Objekt ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
Das ACE für Gruppe A verfügt nicht über eine Objekt-GUID, was bedeutet, dass der Zugriff auf alle Eigenschaften des Objekts ermöglicht wird. Das objektspezifische ACE für Eigenschaftssatz 1 ermöglicht jedem Zugriff auf eigenschaften A und B. Das andere objektspezifische ACE ermöglicht jedem Zugriff auf Eigenschaft C. Beachten Sie, dass diese DACL zwar keine zugriffsverwehrten ACEs aufweist, aber implizit den Zugriff auf Eigenschaft D für alle personen mit Ausnahme von Gruppe A verweigert.
Wenn ein Benutzer versucht, auf die Eigenschaft eines Objekts zuzugreifen, überprüft das System die ACEs in der Reihenfolge, bis der angeforderte Zugriff explizit gewährt, verweigert wird oder keine weiteren ACEs vorhanden sind. In diesem Fall wird der Zugriff implizit verweigert.
Das System wertet Folgendes aus:
- ACEs, die auf das Objekt selbst angewendet werden
- Objektspezifische ACEs, die für den Eigenschaftensatz gelten, der die Eigenschaft enthält, auf die zugegriffen wird
- Objektspezifische ACEs, die für die Eigenschaft gelten, auf die zugegriffen wird
Das System ignoriert objektspezifische ACEs, die für andere Eigenschaftensätze oder Eigenschaften gelten.