Listas de control de acceso

  • Artículo

Una lista de control de acceso (ACL) es una lista de entradas de control de acceso (ACE). Cada ACE de una ACL identifica a un usuario de confianza y especifica los derechos de acceso concedidos, denegados o auditados para dicho usuario. El descriptor de seguridad de un objeto protegible puede contener dos tipos de ACL: una DACL y una SACL.

Una lista de control de acceso discrecional (DACL) identifica a los administradores permitidos o denegados de acceso a un objeto protegible. Cuando un proceso intenta acceder a un objeto protegible, el sistema comprueba los ACL en la DACL del objeto para determinar si se debe conceder acceso a él. Si el objeto no tiene una DACL, el sistema concede acceso total a todos los usuarios. Si la DACL del objeto no tiene ACE, el sistema deniega todos los intentos de acceder al objeto porque la DACL no permite ningún derecho de acceso. El sistema comprueba las ACE en secuencia hasta que encuentre uno o varios ASE que permitan todos los derechos de acceso solicitados o hasta que se deniegue cualquiera de los derechos de acceso solicitados. Para obtener más información, vea Cómo controlan los DACL el acceso a un objeto. Para obtener información sobre cómo crear correctamente una DACL, consulte Creación de una DACL.

Una lista de control de acceso del sistema (SACL) permite a los administradores registrar intentos de acceso a un objeto protegido. Cada ACE especifica los tipos de intentos de acceso por parte de un administrador de confianza especificado que hacen que el sistema genere un registro en el registro de eventos de seguridad. Una ACE en una SACL puede generar registros de auditoría cuando se produce un error en un intento de acceso, cuando se realiza correctamente o ambos. Para obtener más información sobre las SACL, consulte Auditar la generación y el derecho de acceso sacl.

No intente trabajar directamente con el contenido de una ACL. Para asegurarse de que las ACL son semánticamente correctas, use las funciones adecuadas para crear y manipular ACL. Para obtener más información, consulte Obtención de información de una ACL y Creación o modificación de una ACL.

Las ACL también proporcionan control de acceso a los objetos de servicio de Microsoft Active Directory. Las interfaces de servicio de Active Directory (ADSI) incluyen rutinas para crear y modificar el contenido de estas ACL. Para obtener más información, vea Control del acceso a objetos en Servicios de dominio de Active Directory.