アクセス制御リスト

アクセス 制御リスト (ACL) は、 アクセス制御エントリ (ACE) の一覧です。 ACL 内の各 ACE は、トラスティを識別し、そのトラスティに対して許可、拒否、監査されているアクセス権を指定します。 セキュリティ保護可能なオブジェクトセキュリティ記述子には、DACL と SACL という2種類の acl を含めることができます。

随意アクセス制御リスト(DACL) は、セキュリティ保護可能なオブジェクトへのアクセスが許可または拒否されているトラスティを識別します。 プロセスがセキュリティ保護可能なオブジェクトにアクセスしようとすると、システムはオブジェクトの DACL 内の ace を調べて、アクセス権を付与するかどうかを判断します。 オブジェクトに DACL がない場合、システムはすべてのユーザーにフルアクセスを許可します。 オブジェクトの DACL に Ace がない場合、DACL ではアクセス権が許可されないため、オブジェクトへのアクセスの試行はすべて拒否されます。 システムは、要求されたすべてのアクセス権を許可する1つまたは複数の Ace が見つかるまで、または要求されたアクセス権が拒否されるまで、Ace を順番に確認します。 詳細については、「 dacl がオブジェクトへのアクセスを制御する方法」を参照してください。 DACL を適切に作成する方法については、「 dacl の作成」を参照してください。

システムアクセス制御リスト(SACL) を使用すると、管理者はセキュリティで保護されたオブジェクトにアクセスする試行をログに記録できます。 各 ACE は、指定されたトラスティによってアクセス試行の種類を指定します。これにより、システムはセキュリティイベントログにレコードを生成します。 SACL の ACE は、アクセス試行が失敗した場合、成功した場合、またはその両方の場合に、監査レコードを生成できます。 Sacl の詳細については、「 監査の生成sacl アクセス権」を参照してください。

ACL の内容を直接操作しないようにしてください。 Acl が意味的に正しいことを確認するには、適切な関数を使用して Acl を作成および操作します。 詳細については、「 acl から情報を取得 する」と「 acl を作成または変更する」を参照してください。

Acl は、Microsoft Active Directory Directory サービスオブジェクトへのアクセス制御も提供します。 Active Directory サービスインターフェイス (ADSI) には、これらの Acl の内容を作成および変更するためのルーチンが含まれています。 詳細については、「 Active Directory オブジェクトへのアクセスの制御」を参照してください。