ACE для управления доступом к свойствам объекта
Список управления доступом на уровне пользователей (DACL) объекта службы каталогов (DS) может содержать иерархию записей управления доступом (ACE), как показано ниже.
- ACE, защищающие сам объект
- ACE для конкретного объекта , которые защищают заданные свойства, заданные в объекте
- ACE для конкретного объекта, которые защищают указанное свойство объекта
В этой иерархии права, предоставленные или запрещенные на более высоком уровне, применяются также к более низким уровням. Например, если ACE для конкретного объекта в наборе свойств разрешает доверенному лицу право ADS_RIGHT_DS_READ_PROP, доверенное лицо имеет неявный доступ на чтение ко всем свойствам этого набора свойств. Аналогичным образом ACE в самом объекте, который позволяет ADS_RIGHT_DS_READ_PROP доступ, предоставляет доверенному лицу доступ на чтение ко всем свойствам объекта.
На следующем рисунке показано дерево гипотетического объекта DS и его наборы свойств и свойства.
Предположим, вы хотите разрешить следующий доступ к свойствам этого объекта DS:
- Разрешение на чтение и запись в группе A для всех свойств объекта
- Разрешить всем остальным пользователям разрешение на чтение и запись для всех свойств, кроме свойства D
Для этого задайте ACE в DACL объекта, как показано в следующей таблице.
| Попечителя | GUID объекта | Тип ACE | Права доступа |
|---|---|---|---|
| Группа A | Нет | ACE с разрешенным доступом | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Все | Набор свойств 1 | ACE объекта с разрешенным доступом | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Все | Свойство C | ACE объекта с разрешенным доступом | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
ACE для группы A не имеет GUID объекта, что означает, что он разрешает доступ ко всем свойствам объекта. ACE для объекта для набора свойств 1 позволяет всем пользователям получать доступ к свойствам A и B. Другой объект ACE разрешает всем пользователям доступ к свойству C. Обратите внимание, что хотя этот DACL не имеет ACE с запретом доступа, он неявно запрещает доступ к свойству D всем, кроме группы A.
Когда пользователь пытается получить доступ к свойству объекта, система проверяет ACE по порядку, пока запрошенный доступ не будет явно предоставлен, запрещен или не будет больше ACE. В этом случае доступ неявно запрещен.
Система оценивает:
- ACE, которые применяются к самому объекту
- ACE для конкретного объекта, которые применяются к набору свойств, который содержит свойство, к которому осуществляется доступ
- ACE для конкретных объектов, которые применяются к свойству, к которому осуществляется доступ
Система игнорирует объекты ACE, которые применяются к другим наборам свойств или свойствам.