Listas de Controle de Acesso

Uma ACL ( lista de controle de acesso ) é uma lista de ACE ( entradas de controle de acesso ). Cada ACE em uma ACL identifica um objeto de confiança e especifica os direitos de acesso permitidos, negados ou auditados para esse objeto de confiança. O descritor de segurança para um objeto protegível pode conter dois tipos de ACLs: um DACL e um SACL.

Uma DACL (lista de controle de acesso discricionário ) identifica os administradores que têm acesso permitido ou negado a um objeto protegível. Quando um processo tenta acessar um objeto protegível, o sistema verifica as ACEs na DACL do objeto para determinar se deseja conceder acesso a ele. Se o objeto não tiver uma DACL, o sistema concederá acesso total a todos. Se a DACL do objeto não tiver ACEs, o sistema negará todas as tentativas de acessar o objeto porque a DACL não permite nenhum direito de acesso. O sistema verifica os ACEs em sequência até encontrar um ou mais ACEs que permitem todos os direitos de acesso solicitados ou até que qualquer um dos direitos de acesso solicitados seja negado. Para obter mais informações, consulte como os DACLs controlam o acesso a um objeto. Para obter informações sobre como criar corretamente uma DACL, consulte Criando uma DACL.

Uma SACL ( lista de controle de acesso do sistema ) permite que os administradores registrem tentativas de acesso a um objeto seguro. Cada ACE especifica os tipos de tentativas de acesso por um administrador especificado que fazem com que o sistema gere um registro no log de eventos de segurança. Um ACE em um SACL pode gerar registros de auditoria quando uma tentativa de acesso falha, quando ela é bem-sucedida ou ambas. Para obter mais informações sobre SACLs, consulte Audit Generation e SACL Access Right.

Não tente trabalhar diretamente com o conteúdo de uma ACL. Para garantir que as ACLs estejam semanticamente corretas, use as funções apropriadas para criar e manipular ACLs. Para obter mais informações, consulte Obter informações de uma ACL e criar ou modificar uma ACL.

As ACLs também fornecem controle de acesso aos objetos de serviço de diretório do Microsoft Active Directory. As INTERFACES de Serviço do Active Directory (ADSI) incluem rotinas para criar e modificar o conteúdo dessas ACLs. Para obter mais informações, consulte Controlando o acesso a objetos do Active Directory.