Listas de controle de acesso
Uma lista de controle de acesso (ACL) é uma lista de entradas de controle de acesso (ACE). Cada ACE em uma ACL identifica um objeto de confiança e especifica os direitos de acesso permitidos, negados ou auditados para esse objeto de confiança. O descritor de segurança para um objeto protegível pode conter dois tipos de ACLs: uma DACL e uma SACL.
Uma DACL ( lista de controle de acesso discricionário ) identifica os administradores que têm acesso permitido ou negado a um objeto protegível. Quando um processo tenta acessar um objeto protegível, o sistema verifica as ACEs na DACL do objeto para determinar se deseja conceder acesso a ele. Se o objeto não tiver uma DACL, o sistema concederá acesso total a todos. Se a DACL do objeto não tiver ACEs, o sistema negará todas as tentativas de acessar o objeto porque a DACL não permite nenhum direito de acesso. O sistema verifica as ACEs em sequência até encontrar um ou mais ACEs que permitam todos os direitos de acesso solicitados ou até que qualquer um dos direitos de acesso solicitados seja negado. Para obter mais informações, consulte Como os DACLs controlam o acesso a um objeto . Para obter informações sobre como criar corretamente uma DACL, consulte Criando uma DACL.
Uma SACL ( lista de controle de acesso do sistema ) permite que os administradores registrem tentativas de acessar um objeto protegido. Cada ACE especifica os tipos de tentativas de acesso por um objeto de confiança especificado que fazem com que o sistema gere um registro no log de eventos de segurança. Uma ACE em uma SACL pode gerar registros de auditoria quando uma tentativa de acesso falha, quando é bem-sucedida ou ambas. Para obter mais informações sobre SACLs, consulte Geração de auditoria e direito de acesso à SACL.
Não tente trabalhar diretamente com o conteúdo de uma ACL. Para garantir que as ACLs estejam semanticamente corretas, use as funções apropriadas para criar e manipular ACLs. Para obter mais informações, consulte Obtendo informações de uma ACL e Criando ou modificando uma ACL.
As ACLs também fornecem controle de acesso aos objetos de serviço do Microsoft Active Directory. As ADSI (Interfaces de Serviço do Active Directory) incluem rotinas para criar e modificar o conteúdo dessas ACLs. Para obter mais informações, consulte Controlando o acesso a objetos no Active Directory Domain Services.