ACEs zum Steuern des Zugriffs auf die Eigenschaften eines Objekts
Die DACL (Discretionary Access Control List) eines Verzeichnisdienstobjekts (Directory Service, DS) kann wie folgt eine Hierarchie von Zugriffssteuerungseinträgen (ACEs) enthalten:
- ACEs, die das Objekt selbst schützen
- Objektspezifische ACEs, die einen angegebenen Eigenschaftensatz für das Objekt schützen
- Objektspezifische ACEs, die eine angegebene Eigenschaft für das Objekt schützen
Innerhalb dieser Hierarchie gelten die Rechte, die auf einer höheren Ebene gewährt oder verweigert werden, auch für die unteren Ebenen. Wenn beispielsweise ein objektspezifischer ACE für einen Eigenschaftensatz einem Vertrauensnehmer das ADS _ RIGHT _ DS _ READ _ PROP-Recht zulässt, hat der Vertrauensnehmer impliziten Lesezugriff auf alle Eigenschaften dieses Eigenschaftensatzes. Entsprechend gewährt ein ACE für das Objekt selbst, das ADS RIGHT DS READ PROP-Zugriff zulässt, _ _ dem _ _ Vertrauensnehmer Lesezugriff auf alle Eigenschaften des Objekts.
Die folgende Abbildung zeigt die Struktur eines hypothetischen DS-Objekts und dessen Eigenschaftensätze und -eigenschaften.

Angenommen, Sie möchten den folgenden Zugriff auf die Eigenschaften dieses DS-Objekts zulassen:
- Lese-/Schreibberechtigung für Gruppe A für alle Eigenschaften des Objekts zulassen
- Allen anderen Personen lese-/schreibberechtigungen für alle Eigenschaften außer Eigenschaft D gestatten
Legen Sie hierzu die ACEs in der DACL des Objekts fest, wie in der folgenden Tabelle gezeigt.
| Treuhänder | Objekt-GUID | ACE-Typ | Zugriffsrechte |
|---|---|---|---|
| Gruppe A | Keine | Zugriffsberechtigung für ACE | ADS _ RIGHT _ DS _ READ _ PROP | ADS _ RIGHT _ DS _ WRITE _ PROP |
| Jeder | Eigenschaftensatz 1 | Zugriffsberechtigungsobjekt ACE | ADS _ RIGHT _ DS _ READ _ PROP | ADS _ RIGHT _ DS _ WRITE _ PROP |
| Jeder | Eigenschaft C | Zugriffsberechtigungsobjekt ACE | ADS _ RIGHT _ DS _ READ _ PROP | ADS _ RIGHT _ DS _ WRITE _ PROP |
Der ACE für Gruppe A verfügt nicht über eine Objekt-GUID, was bedeutet, dass er den Zugriff auf alle Eigenschaften des Objekts zulässt. Der objektspezifische ACE für Eigenschaftensatz 1 ermöglicht jedem Zugriff auf die Eigenschaften A und B. Der andere objektspezifische ACE ermöglicht jedem Zugriff auf Eigenschaft C. Beachten Sie, dass diese DACL zwar keine ACEs mit Zugriffsverweigerung auflistet, aber implizit den Zugriff auf Eigenschaft D für alle Benutzer mit Ausnahme von Gruppe A verweigert.
Wenn ein Benutzer versucht, auf die -Eigenschaft eines Objekts zuzugreifen, überprüft das System die ACEs in der richtigen Reihenfolge, bis der angeforderte Zugriff explizit gewährt, verweigert oder keine acEs mehr vorhanden sind. In diesem Fall wird der Zugriff implizit verweigert.
Das System wertet Folgendes aus:
- ACEs, die für das Objekt selbst gelten
- Objektspezifische ACEs, die für den Eigenschaftensatz gelten, der die Eigenschaft enthält, auf die zugegriffen wird
- Objektspezifische ACEs, die für die Eigenschaft gelten, auf die zugegriffen wird
Das System ignoriert objektspezifische ACEs, die für andere Eigenschaftensätze oder Eigenschaften gelten.