AcEs pour contrôler l’accès aux propriétés d’un objet
La liste de contrôle d’accès discrétionnaire (DACL) d’un objet de service d’annuaire (DS) peut contenir une hiérarchie d’entrées de contrôle d’accès (ACA), comme suit :
- AE qui protègent l’objet lui-même
- AcEs spécifiques à l’objet qui protègent un jeu de propriétés spécifié sur l’objet
- AES spécifiques à l’objet qui protègent une propriété spécifiée sur l’objet
Au sein de cette hiérarchie, les droits accordés ou refusés à un niveau supérieur s’appliquent également aux niveaux inférieurs. Par exemple, si un ACE spécifique à un objet sur un jeu de propriétés autorise un fiduciaire à ADS_RIGHT_DS_READ_PROP droit, le fiduciaire dispose d’un accès en lecture implicite à toutes les propriétés de ce jeu de propriétés. De même, un ACE sur l’objet lui-même qui autorise l’accès ADS_RIGHT_DS_READ_PROP donne au fiduciaire un accès en lecture à toutes les propriétés de l’objet.
L’illustration suivante montre l’arborescence d’un objet DS hypothétique et ses jeux de propriétés et propriétés.
Supposons que vous souhaitiez autoriser l’accès suivant aux propriétés de cet objet DS :
- Autoriser l’autorisation de lecture/écriture du groupe A à toutes les propriétés de l’objet
- Autoriser tous les autres utilisateurs à lire/écrire l’autorisation sur toutes les propriétés à l’exception de la propriété D
Pour ce faire, définissez les ACA dans la liste DACL de l’objet, comme indiqué dans le tableau suivant.
| Tiers de confiance | GUID d’objet | Type ACE | Droits d’accès |
|---|---|---|---|
| Group A | None | ACCÈS ACE autorisé | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Tout le monde | Jeu de propriétés 1 | Objet ACE autorisé par accès | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Tout le monde | Propriété C | Objet ACE autorisé par accès | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
L’ACE pour le groupe A n’a pas de GUID d’objet, ce qui signifie qu’il autorise l’accès à toutes les propriétés de l’objet. L’ACE spécifique à l’objet pour le jeu de propriétés 1 permet à tout le monde d’accéder aux propriétés A et B. L’autre ACE spécifique à l’objet permet à tout le monde d’accéder à la propriété C. Notez que bien que cette LISTE de contrôle d’accès ne dispose d’aucun AIC refusé, elle refuse implicitement l’accès à la propriété D à tout le monde à l’exception du groupe A.
Lorsqu’un utilisateur tente d’accéder à la propriété d’un objet, le système vérifie les ACÉ, dans l’ordre, jusqu’à ce que l’accès demandé soit explicitement accordé, refusé ou qu’il n’y ait plus d’ACÉ, auquel cas, l’accès est implicitement refusé.
Le système évalue :
- AES qui s’appliquent à l’objet lui-même
- AES spécifiques à l’objet qui s’appliquent au jeu de propriétés qui contient la propriété en cours d’accès
- AES spécifiques à l’objet qui s’appliquent à la propriété accessible
Le système ignore les ADE spécifiques aux objets qui s’appliquent à d’autres jeux de propriétés ou propriétés.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour