ACEs zum Steuern des Zugriffs auf die Eigenschaften eines Objekts

Die diskretionäre Zugriffssteuerungsliste (DACL) eines Verzeichnisdienstobjekts kann eine Hierarchie von Zugriffssteuerungseinträgen (ACEs) wie folgt enthalten:

  1. ACEs, die das Objekt selbst schützen
  2. Objektspezifische ACEs , die einen angegebenen Eigenschaftssatz für das Objekt schützen
  3. Objektspezifische ACEs, die eine angegebene Eigenschaft für das Objekt schützen

Innerhalb dieser Hierarchie gelten die Auf einer höheren Ebene gewährten oder verweigerten Rechte auch für die unteren Ebenen. Wenn beispielsweise ein objektspezifischer ACE für einen Eigenschaftensatz einem Vertrauenshänder das ADS_RIGHT_DS_READ_PROP Recht zulässt, hat der Treuhänder impliziten Lesezugriff auf alle Eigenschaften dieses Eigenschaftensatzes. Ebenso ermöglicht ein ACE für das Objekt selbst, das ADS_RIGHT_DS_READ_PROP Zugriff ermöglicht, dem Vertrauenshänder Lesezugriff auf alle Eigenschaften des Objekts.

Die folgende Abbildung zeigt die Struktur eines hypothetischen DS-Objekts und dessen Eigenschaftensätze und Eigenschaften.

Verzeichnisdienstobjekthierarchie

Angenommen, Sie möchten den folgenden Zugriff auf die Eigenschaften dieses DS-Objekts zulassen:

  • Zulassen der Lese-/Schreibberechtigung für Gruppe A für alle Eigenschaften des Objekts
  • Zulassen der Lese-/Schreibberechtigung für alle Eigenschaften außer Eigenschaft D

Legen Sie dazu die ACEs in der DACL des Objekts wie in der folgenden Tabelle dargestellt fest.

Treuhänder Objekt-GUID ACE-Typ Zugriffsrechte
Gruppe A Keine Zugriffsgeschützter ACE ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Jeder Eigenschaftssatz 1 Zugriffsberechtigtes Objekt ACE ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP
Jeder Eigenschaft C Zugriffsberechtigtes Objekt ACE ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP

 

Das ACE für Gruppe A verfügt nicht über eine Objekt-GUID, was bedeutet, dass der Zugriff auf alle Eigenschaften des Objekts ermöglicht wird. Das objektspezifische ACE für Eigenschaftssatz 1 ermöglicht jedem Zugriff auf eigenschaften A und B. Das andere objektspezifische ACE ermöglicht jedem Zugriff auf Eigenschaft C. Beachten Sie, dass diese DACL zwar keine zugriffsverwehrten ACEs aufweist, aber implizit den Zugriff auf Eigenschaft D für alle personen mit Ausnahme von Gruppe A verweigert.

Wenn ein Benutzer versucht, auf die Eigenschaft eines Objekts zuzugreifen, überprüft das System die ACEs in der Reihenfolge, bis der angeforderte Zugriff explizit gewährt, verweigert wird oder keine weiteren ACEs vorhanden sind. In diesem Fall wird der Zugriff implizit verweigert.

Das System wertet Folgendes aus:

  • ACEs, die auf das Objekt selbst angewendet werden
  • Objektspezifische ACEs, die für den Eigenschaftensatz gelten, der die Eigenschaft enthält, auf die zugegriffen wird
  • Objektspezifische ACEs, die für die Eigenschaft gelten, auf die zugegriffen wird

Das System ignoriert objektspezifische ACEs, die für andere Eigenschaftensätze oder Eigenschaften gelten.