ACE-Zeichenfolgen

Die Sicherheitsdeskriptordefinitionssprache (Security Descriptor Definition Language, SDDL) verwendet ACE-Zeichenfolgen in den DACL- und SACL-Komponenten einer Sicherheitsbeschreibungszeichenfolge.

Wie in den Beispielen zum Sicherheitsdeskriptorzeichenfolgenformat gezeigt, wird jeder ACE in einer Sicherheitsdeskriptorzeichenfolge in Klammern eingeschlossen. Die Felder des ACE sind in der folgenden Reihenfolge und durch Semikolons (;) getrennt.

Hinweis

Es gibt ein anderes Format für bedingte Zugriffssteuerungseinträge (Conditional Access Control Entries, ACEs) als für andere ACE-Typen. Informationen zu bedingten ACEs finden Sie unter Sicherheitsbeschreibungsdefinitionssprache für bedingte ACEs.

ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)

Felder

_ace-Typ

Eine Zeichenfolge, die den Wert des AceType-Elements der ACE _ HEADER-Struktur angibt. Die ACE-Typzeichenfolge kann eine der folgenden Zeichenfolgen sein, die in Sddl.h definiert sind.

ACE-Typzeichenfolge Konstante in "Sddl.h" AceType-Wert
„A“ _SDDL-ZUGRIFF _ ZULÄSSIG _ZUGRIFF _ ZULÄSSIGER _ ACE-TYP
"D" SDDL _ ACCESS _ DENIED ACCESS _ DENIED _ ACE _ TYPE
"OA" _SDDL-OBJEKTZUGRIFF _ _ ZULÄSSIG _ _ ZUGRIFFSBERECHTIGUNGSTYP FÜR _ _ OBJEKTASSET
"OD" ZUGRIFF _ AUF SDDL-OBJEKT _ _ VERWEIGERT ACCESS _ DENIED _ OBJECT _ ACE _ TYPE
"AU" SDDL _ AUDIT ACE-TYP DER _ SYSTEMÜBERWACHUNG _ _
"AL" SDDL _ ALARM ACE-TYP DES _ SYSTEMALARMS _ _
"OU" _SDDL-OBJEKTÜBERWACHUNG _ _ _ ACE-TYP DES SYSTEMÜBERWACHUNGSOBJEKTS _ _
"OL" _ _ SDDL-OBJEKTALARM ACE-TYP DES _ SYSTEMALARMOBJEKTS _ _ _
"ML" OBLIGATORISCHE _ _ SDDL-BEZEICHNUNG _SYSTEM MANDATORY LABEL ACE TYPE Windows Server _ _ _ 2003: Nicht verfügbar.
"XA" SDDL _ CALLBACK _ ACCESS _ ALLOWED ZUGRIFF _ ZULÄSSIGER _ RÜCKRUF _ _ ACE-TYP Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"XD" ZUGRIFF DES _ SDDL-RÜCKRUFS _ _ VERWEIGERT ZUGRIFF _ VERWEIGERT RÜCKRUF ACE TYPE Windows Server _ _ _ 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"RA" _ _ SDDL-RESSOURCENATTRIBUT ACE-TYP DES _ _ _ _ SYSTEMRESSOURCENATTRIBUTS Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"SP" SDDL _ SCOPED _ POLICY _ ID SYSTEM _ SCOPED _ POLICY ID ACE TYPE Windows Server _ _ _ 2008 R2, Windows 7, Windows Server 2008, Windows Vista and Windows Server 2003: Not available.
"XU" SDDL _ CALLBACK _ AUDIT SYSTEM _ AUDIT _ CALLBACK ACE TYPE Windows Server _ _ 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"ZA" ZUGRIFF _ AUF SDDL-RÜCKRUFOBJEKTE _ _ _ ZULÄSSIG ZUGRIFF _ ZULÄSSIGER _ RÜCKRUF _ _ ACE-TYP Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"TL" _ _ SDDL-PROZESSVERTRAUENSBEZEICHNUNG _ SYSTEM _ PROCESS TRUST LABEL ACE TYPE _ _ _ _ Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"FL" _SDDL-ZUGRIFFSFILTER _ ACE-TYP DES _ SYSTEMZUGRIFFSFILTERS _ _ _ Windows Server 2016, Windows 10 Version 1607, Windows 10 Version 1511, Windows 10 Version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.

Hinweis

Wenn der _ ace-Typ ACCESS ALLOWED OBJECT ACE TYPE ist _ und weder _ _ _ _ objekt-GUID noch _ _ objekt-GUID erben eine GUID angegeben hat, konvertiert ConvertStringSecurityDescriptorToSecurityDescriptor den _ Ace-Typ in ACCESS _ ALLOWED ACE _ _ TYPE.

_Ace-Flags

Eine Zeichenfolge, die den Wert des AceFlags-Members der ACE _ HEADER-Struktur angibt. Die ACE-Flagzeichenfolge kann eine Verkettung der folgenden Zeichenfolgen sein, die in Sddl.h definiert sind.

ACE-Flagzeichenfolge Konstante in "Sddl.h" AceFlag-Wert
"CI" _SDDL-CONTAINER _ ERBEN CONTAINER _ INHERIT _ ACE
"OI" _SDDL-OBJEKT _ ERBEN _OBJEKTVERERBUNGS-ACE _
"NP" SDDL _ NO _ PROPAGATE NO _ PROPAGATE _ INHERIT _ ACE
"E/A" NUR SDDL _ _ ERBEN _NUR ACE ERBEN _
„ID“ SDDL _ GEERBT GEERBTER _ ACE
"SA" SDDL _ AUDIT _ SUCCESS ACE-FLAG FÜR _ ERFOLGREICHEN ZUGRIFF _ _
"FA" FEHLER BEI DER _ SDDL-ÜBERWACHUNG _ ACE-FLAG FÜR _ FEHLGESCHLAGENEN ZUGRIFF _ _
"TP" SDDL _ TRUST _ PROTECTED _ FILTER WINDOWS SERVER 2016 _ DES ACE-FLAGS FÜR GESCHÜTZTE _ FILTER _ _ VERTRAUEN, Windows 10 Version 1607, Windows 10 Version 1511, Windows 10 Version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.
"CR" SDDL _ CRITICAL CRITICAL _ ACE FLAG Windows Server Version _ 1803, Windows 10 Version 1803, Windows Server Version 1709, Windows 10 Version 1709, Windows 10 Version 1703, Windows Server 2016, Windows 10 Version 1607, Windows 10 Version 1511, Windows 10 Version 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Nicht verfügbar.

Rechte

Eine Zeichenfolge, die die vom ACE gesteuerten Zugriffsrechte angibt. Diese Zeichenfolge kann eine hexadezimale Zeichenfolgendarstellung der Zugriffsrechte sein, z. B. "0x7800003F" oder eine Verkettung der folgenden Zeichenfolgen.

Generische Zugriffsrechte

Zugriffsberechtigungszeichenfolge Konstante in Sddl.h Zugriff auf den richtigen Wert
"GA" SDDL _ GENERIC _ ALL GENERIC _ ALL
"GR" SDDL _ GENERIC _ READ GENERISCHER _ LESE-/LESE-TYP
"GW" SDDL _ GENERIC _ WRITE GENERISCHER _ SCHREIBZUGRIFF
"GX" SDDL _ GENERIC _ EXECUTE GENERIC _ EXECUTE

Standardzugriffsrechte

Zugriffsberechtigungszeichenfolge Konstante in Sddl.h Zugriff auf den richtigen Wert
"RC" _SDDL-LESESTEUER _ STEUERELEMENT _READ-STEUERELEMENT
"SD" SDDL _ STANDARD _ DELETE DELETE
"WD" SDDL _ WRITE _ DAC _SCHREIB-DAC
"WO" SDDL _ WRITE _ OWNER WRITE _ OWNER

Zugriffsrechte für Verzeichnisdienstobjekt

Zugriffsberechtigungszeichenfolge Konstante in Sddl.h Zugriff auf den richtigen Wert
"RP" SDDL _ _ READ-EIGENSCHAFT ADS _ RIGHT _ DS _ READ _ PROP
"WP" SDDL _ _ WRITE-EIGENSCHAFT ADS _ RIGHT _ DS _ WRITE _ PROP
"CC" SDDL _ CREATE _ CHILD ADS _ RIGHT _ DS _ CREATE _ CHILD
"DC" SDDL _ DELETE _ CHILD ADS _ RIGHT _ DS _ DELETE _ CHILD
"LC" SDDL _ LIST _ CHILDREN ADS _ RIGHT _ ACTRL _ DS _ LIST
"SW" SDDL _ SELF _ WRITE ADS _ RIGHT _ DS _ SELF
"LO" _SDDL-LISTENOBJEKT _ ADS _ RIGHT _ DS _ _ LIST-OBJEKT
"DT" SDDL _ DELETE _ TREE ADS _ RIGHT _ DS _ DELETE _ TREE
"CR" _SDDL-STEUERELEMENTZUGRIFF _ ADS _ RIGHT _ DS _ CONTROL _ ACCESS

Dateizugriffsrechte

Zugriffsberechtigungszeichenfolge Konstante in Sddl.h Zugriff auf den richtigen Wert
"FA" SDDL _ FILE _ ALL DATEI _ ALLER _ ZUGRIFFE
"FR" _SDDL-DATEI _ GELESEN GENERISCHER _ _ DATEILESEFEHLER
"FW" SDDL _ FILE _ WRITE GENERISCHER _ _ DATEI-SCHREIBZUGRIFF
"FX" SDDL _ FILE _ EXECUTE FILE _ GENERIC _ EXECUTE

Zugriffsrechte für Registrierungsschlüssel

Zugriffsberechtigungszeichenfolge Konstante in Sddl.h Zugriff auf den richtigen Wert
"KA" SDDL _ KEY _ ALL KEY _ ALL _ ACCESS
"KR" SDDL _ KEY _ READ KEY _ READ
"KW" SDDL _ KEY _ WRITE KEY _ WRITE
"KX" SDDL _ KEY _ EXECUTE KEY _ EXECUTE

Obligatorische Bezeichnungsrechte

Zugriffsberechtigungszeichenfolge Konstante in "Sddl.h" Zugriffsrechtwert
"NR" SDDL _ NO _ READ _ UP _SYSTEM MANDATORY LABEL NO READ UP Windows Server _ _ _ _ 2008, Windows Vista and Windows Server 2003: Not available.
"NW" SDDL _ OHNE _ _ SCHREIBVORGANG _SYSTEM MANDATORY LABEL NO WRITE UP Windows Server _ _ _ _ 2008, Windows Vista and Windows Server 2003: Not available.
"NX" SDDL _ NO _ EXECUTE _ UP _SYSTEM MANDATORY LABEL NO EXECUTE UP Windows Server _ _ _ _ 2008, Windows Vista and Windows Server 2003: Not available.

_Objekt-GUID

Eine Zeichenfolgendarstellung einer GUID, die den Wert des ObjectType-Members einer objektspezifischen ACE-Struktur angibt, z. B. ACCESS ALLOWED OBJECT _ _ _ ACE. Die GUID-Zeichenfolge verwendet das format, das von der UuidToString-Funktion zurückgegeben wird.

In der folgenden Tabelle sind einige häufig verwendete Objekt-GUIDs aufgeführt.

Rechte und GUID Berechtigung
CR;ab721a53-1e2f-11d0-9819-00aa0040529b Kennwort ändern
CR;00299570-246d-11d0-a768-00aa006e0529 Kennwort zurücksetzen

_ _ Objekt-GUID erben

Eine Zeichenfolgendarstellung einer GUID, die den Wert des InheritedObjectType-Elements einer objektspezifischen ACE-Struktur angibt. Die GUID-Zeichenfolge verwendet das UuidToString-Format.

account _ sid

SID-Zeichenfolge, die den Vertrauensnehmer des ACE identifiziert.

_Ressourcenattribut

[OPTIONAL ] Das _ Ressourcenattribut ist nur für Ressourcen-ACEs und optional. Eine Zeichenfolge, die den Datentyp angibt. Der Ace-Datentyp des Ressourcenattributs kann einer der folgenden Datentypen sein, die in Sddl.h definiert sind.

Das # Zeichen "" ist synonym mit "0" in Ressourcenattributen. Beispiel: D:AI(XA;OICI;FA;;; WD;(OctetStringType== # 1 # 2 # 3 # # )) entspricht und wird als D:AI(XA;OICI;FA;;; interpretiert. WD;(OctetStringType== # 01020300)).

Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista und Windows Server 2003: Ressourcenattribute sind nicht verfügbar.

Ace-Datentypzeichenfolge für Ressourcenattribut Konstante in "Sddl.h" Datentyp
"TI" SDDL _ INT Ganze Zahl mit Vorzeichen
"TU" SDDL _ UINT Ganze Zahl ohne Vorzeichen
"TS" SDDL _ WSTRING Breite Zeichenfolge
"TD" _SDDL-SID SID
"TX" _SDDL-BLOB Oktettzeichenfolge
"TB" SDDL _ BOOLEAN Boolean

Das folgende Beispiel zeigt eine ACE-Zeichenfolge für einen zugriffsberechtigten ACE. Es handelt sich nicht um einen objektspezifischen ACE, sodass er keine Informationen in den _ Objekt-GUID-Feldern enthält und _ _ Objekt-GUID-Felder erbt. Das Feld ace _ flags ist ebenfalls leer, was angibt, dass keines der ACE-Flags festgelegt ist.

(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-1-0)

Die oben gezeigte ACE-Zeichenfolge beschreibt die folgenden ACE-Informationen.

AceType:       0x00 (ACCESS_ALLOWED_ACE_TYPE)
AceFlags:      0x00
Access Mask:   0x100e003f
                    READ_CONTROL
                    WRITE_DAC
                    WRITE_OWNER
                    GENERIC_ALL
                    Other access rights(0x0000003f)
Ace Sid      : (S-1-1-0)

Das folgende Beispiel zeigt eine Datei, die mit Ressourcenansprüchen für Windows und strukturierte Abfragesprache (SQL) klassifiziert ist, wobei Secrecy auf High Business Impact festgelegt ist.

(RA;CI;;;;S-1-1-0; ("Project",TS,0,"Windows","SQL")) 
(RA;CI;;;;S-1-1-0; ("Secrecy",TU,0,3))

Die oben gezeigte ACE-Zeichenfolge beschreibt die folgenden ACE-Informationen.

AceType:       0x12 (SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE)
AceFlags:      0x1  (SDDL_CONTAINER_INHERIT)
Access Mask:   0x0
Ace Sid      : (S-1-1-0)
Resource Attributes: Project has the strings Windows and SQL, Secrecy has the unsigned int value of 3

Weitere Informationen finden Sie unter Security Descriptor String Format (Sicherheitsbeschreibungszeichenfolgenformat) und SID Strings (SID-Zeichenfolgen). Informationen zu bedingten ACEs finden Sie unter Sicherheitsbeschreibungsdefinitionssprache für bedingte ACEs.

[MS-DTYP: ] Beschreibungssprache des Sicherheitsdeskriptors