Cadeias de Caracteres ACE

Artigo
06/03/2023

A linguagem de definição de descritor de segurança (SDDL) usa cadeias de caracteres ACE nos componentes DACL e SACL de uma cadeia de caracteres de descritor de segurança .

Conforme mostrado nos exemplos de Formato de Cadeia de Caracteres do Descritor de Segurança , cada ACE em uma cadeia de caracteres de descritor de segurança está entre parênteses. Os campos do ACE estão na ordem a seguir e são separados por ponto e vírgula (;).

Observação

As ACEs (entradas de controle de acesso condicional) têm um formato diferente de outros tipos ace. Para ACEs condicionais, consulte Linguagem de definição de descritor de segurança para ACEs condicionais.

ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)

Campos

ace_type

Uma cadeia de caracteres que indica o valor do membro AceType da estrutura ACE_HEADER . A cadeia de caracteres do tipo ACE pode ser uma das seguintes cadeias de caracteres definidas em Sddl.h:

Cadeia de caracteres de tipo ACE	Constante em Sddl.h	Valor aceType
"A"	SDDL_ACCESS_ALLOWED	ACCESS_ALLOWED_ACE_TYPE
"D"	SDDL_ACCESS_DENIED	ACCESS_DENIED_ACE_TYPE
"OA"	SDDL_OBJECT_ACCESS_ALLOWED	ACCESS_ALLOWED_OBJECT_ACE_TYPE
"OD"	SDDL_OBJECT_ACCESS_DENIED	ACCESS_DENIED_OBJECT_ACE_TYPE
"AU"	SDDL_AUDIT	SYSTEM_AUDIT_ACE_TYPE
"AL"	SDDL_ALARM	SYSTEM_ALARM_ACE_TYPE
"UO"	SDDL_OBJECT_AUDIT	SYSTEM_AUDIT_OBJECT_ACE_TYPE
"OL"	SDDL_OBJECT_ALARM	SYSTEM_ALARM_OBJECT_ACE_TYPE
"ML"	SDDL_MANDATORY_LABEL	SYSTEM_MANDATORY_LABEL_ACE_TYPE Windows Server 2003: não disponível.
"XA"	SDDL_CALLBACK_ACCESS_ALLOWED	ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"XD"	SDDL_CALLBACK_ACCESS_DENIED	ACCESS_DENIED_CALLBACK_ACE_TYPE Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"RA"	SDDL_RESOURCE_ATTRIBUTE	SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"SP"	SDDL_SCOPED_POLICY_ID	SYSTEM_SCOPED_POLICY_ID_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"XU"	SDDL_CALLBACK_AUDIT	SYSTEM_AUDIT_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"ZA"	SDDL_CALLBACK_OBJECT_ACCESS_ALLOWED	ACCESS_ALLOWED_CALLBACK_ACE_TYPE Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"TL"	SDDL_PROCESS_TRUST_LABEL	SYSTEM_PROCESS_TRUST_LABEL_ACE_TYPE Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"FL"	SDDL_ACCESS_FILTER	SYSTEM_ACCESS_FILTER_ACE_TYPE Windows Server 2016, Windows 10 versão 1607, Windows 10 versão 1511, Windows 10 versão 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.

Observação

Se ace_type for ACCESS_ALLOWED_OBJECT_ACE_TYPE e nem object_guid nem inherit_object_guid tiver um GUID especificado, ConvertStringSecurityDescriptorToSecurityDescriptor converterá ace_type em ACCESS_ALLOWED_ACE_TYPE.

ace_flags

Uma cadeia de caracteres que indica o valor do membro AceFlags da estrutura ACE_HEADER . A cadeia de caracteres de sinalizadores ACE pode ser uma concatenação das seguintes cadeias de caracteres definidas em Sddl.h:

Cadeia de caracteres de sinalizadores ACE	Constante em Sddl.h	Valor aceFlag
"CI"	SDDL_CONTAINER_INHERIT	CONTAINER_INHERIT_ACE
"OI"	SDDL_OBJECT_INHERIT	OBJECT_INHERIT_ACE
"NP"	SDDL_NO_PROPAGATE	NO_PROPAGATE_INHERIT_ACE
"E/S"	SDDL_INHERIT_ONLY	INHERIT_ONLY_ACE
“ID”	SDDL_INHERITED	INHERITED_ACE
"SA"	SDDL_AUDIT_SUCCESS	SUCCESSFUL_ACCESS_ACE_FLAG
"FA"	SDDL_AUDIT_FAILURE	FAILED_ACCESS_ACE_FLAG
"TP"	SDDL_TRUST_PROTECTED_FILTER	TRUST_PROTECTED_FILTER_ACE_FLAG Windows Server 2016, Windows 10 versão 1607, Windows 10 versão 1511, Windows 10 versão 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"CR"	SDDL_CRITICAL	CRITICAL_ACE_FLAG Windows Server versão 1803, Windows 10 versão 1803, Windows Server versão 1709, Windows 10 versão 1709, Windows 10 versão 1703, Windows Server 2016, Windows 10 versão 1607, Windows 10 versão 1511, Windows 10 versão 1507, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 8, Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.

Direitos

Uma cadeia de caracteres que indica os direitos de acesso controlados pelo ACE. Essa cadeia de caracteres pode ser uma representação de cadeia de caracteres hexadecimal dos direitos de acesso, como "0x7800003F", ou pode ser uma concatenação das cadeias de caracteres a seguir.

Direitos de acesso genéricos

Cadeia de caracteres de direitos de acesso	Constante em Sddl.h	Acessar o valor correto
"GA"	SDDL_GENERIC_ALL	GENERIC_ALL
"GR"	SDDL_GENERIC_READ	GENERIC_READ
"GW"	SDDL_GENERIC_WRITE	GENERIC_WRITE
"GX"	SDDL_GENERIC_EXECUTE	GENERIC_EXECUTE

Direitos de acesso padrão

Cadeia de caracteres de direitos de acesso	Constante em Sddl.h	Acessar o valor correto
"RC"	SDDL_READ_CONTROL	READ_CONTROL
"SD"	SDDL_STANDARD_DELETE	Delete (excluir)
"WD"	SDDL_WRITE_DAC	WRITE_DAC
"WO"	SDDL_WRITE_OWNER	WRITE_OWNER

Direitos de acesso ao objeto de serviço de diretório

Cadeia de caracteres de direitos de acesso	Constante em Sddl.h	Acessar o valor correto
"RP"	SDDL_READ_PROPERTY	ADS_RIGHT_DS_READ_PROP
"WP"	SDDL_WRITE_PROPERTY	ADS_RIGHT_DS_WRITE_PROP
"CC"	SDDL_CREATE_CHILD	ADS_RIGHT_DS_CREATE_CHILD
"DC"	SDDL_DELETE_CHILD	ADS_RIGHT_DS_DELETE_CHILD
"LC"	SDDL_LIST_CHILDREN	ADS_RIGHT_ACTRL_DS_LIST
"SW"	SDDL_SELF_WRITE	ADS_RIGHT_DS_SELF
"LO"	SDDL_LIST_OBJECT	ADS_RIGHT_DS_LIST_OBJECT
"DT"	SDDL_DELETE_TREE	ADS_RIGHT_DS_DELETE_TREE
"CR"	SDDL_CONTROL_ACCESS	ADS_RIGHT_DS_CONTROL_ACCESS

Direitos de acesso a arquivos

Cadeia de caracteres de direitos de acesso	Constante em Sddl.h	Acessar o valor correto
"FA"	SDDL_FILE_ALL	FILE_GENERIC_ALL
"FR"	SDDL_FILE_READ	FILE_GENERIC_READ
"FW"	SDDL_FILE_WRITE	FILE_GENERIC_WRITE
"FX"	SDDL_FILE_EXECUTE	FILE_GENERIC_EXECUTE

Direitos de acesso à chave do Registro

Cadeia de caracteres de direitos de acesso	Constante em Sddl.h	Acessar o valor correto
"KA"	SDDL_KEY_ALL	KEY_ALL_ACCESS
"KR"	SDDL_KEY_READ	KEY_READ
"KW"	SDDL_KEY_WRITE	KEY_WRITE
"KX"	SDDL_KEY_EXECUTE	KEY_EXECUTE

Direitos de rótulo obrigatórios

Cadeia de caracteres de direitos de acesso	Constante em Sddl.h	Acessar o valor correto
"NR"	SDDL_NO_READ_UP	SYSTEM_MANDATORY_LABEL_NO_READ_UP Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"NW"	SDDL_NO_WRITE_UP	SYSTEM_MANDATORY_LABEL_NO_WRITE_UP Windows Server 2008, Windows Vista e Windows Server 2003: não disponível.
"NX"	SDDL_NO_EXECUTE_UP	SYSTEM_MANDATORY_LABEL_NO_EXECUTE_UP Windows Server 2008, Windows Vista e Windows Server 2003: Não disponível.

object_guid

Uma representação de cadeia de caracteres de um GUID que indica o valor do membro ObjectType de uma estrutura ACE específica do objeto, como ACCESS_ALLOWED_OBJECT_ACE. A cadeia de caracteres GUID usa o formato retornado pela função UuidToString .

A tabela a seguir lista alguns GUIDs de objeto comumente usados:

Direitos e GUID	Permissão
CR;ab721a53-1e2f-11d0-9819-00aa0040529b	Alterar senha
CR;00299570-246d-11d0-a768-00aa006e0529	Redefinir senha

inherit_object_guid

Uma representação de cadeia de caracteres de um GUID que indica o valor do membro InheritedObjectType de uma estrutura ACE específica do objeto. A cadeia de caracteres GUID usa o formato UuidToString .

account_sid

Cadeia de caracteres SID que identifica o objeto de confiança da ACE.

resource_attribute

[OPCIONAL] O resource_attribute é apenas para ACEs de recurso e é opcional. Uma cadeia de caracteres que indica o tipo de dados. O tipo de dados ace do atributo de recurso pode ser um dos seguintes tipos de dados definidos em Sddl.h.

O sinal "#" é sinônimo de "0" em atributos de recurso. Por exemplo, D:AI(XA;OICI;FA;;; WD;(OctetStringType==#1#2#3##)) é equivalente e interpretado como D:AI(XA;OICI;FA;;; WD;(OctetStringType==#01020300)).

Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista e Windows Server 2003: Os atributos de recurso não estão disponíveis.

Cadeia de caracteres do tipo de dados ace do atributo de recurso	Constante em Sddl.h	Tipo de dados
"TI"	SDDL_INT	Inteiro assinado
"TU"	SDDL_UINT	Inteiro não assinado
"TS"	SDDL_WSTRING	Cadeia de caracteres larga
"TD"	SDDL_SID	SID
"TX"	SDDL_BLOB	Cadeia de caracteres de octeto
"TB"	SDDL_BOOLEAN	Boolean

O exemplo a seguir mostra uma cadeia de caracteres ACE para uma ACE com permissão de acesso. Não é uma ACE específica do objeto, portanto, não tem informações nos campos object_guid e inherit_object_guid . O campo ace_flags também está vazio, o que indica que nenhum dos sinalizadores ACE está definido.

(A;;RPWPCCDCLCSWRCWDWOGA;;;S-1-1-0)

A cadeia de caracteres ACE mostrada acima descreve as seguintes informações de ACE.

AceType:       0x00 (ACCESS_ALLOWED_ACE_TYPE)
AceFlags:      0x00
Access Mask:   0x100e003f
                    READ_CONTROL
                    WRITE_DAC
                    WRITE_OWNER
                    GENERIC_ALL
                    Other access rights(0x0000003f)
Ace Sid      : (S-1-1-0)

O exemplo a seguir mostra um arquivo classificado com declarações de recurso para Windows e linguagem SQL (SQL) com Sigilo definido como Alto Impacto nos Negócios.

(RA;CI;;;;S-1-1-0; ("Project",TS,0,"Windows","SQL")) 
(RA;CI;;;;S-1-1-0; ("Secrecy",TU,0,3))

A cadeia de caracteres ACE mostrada acima descreve as seguintes informações de ACE.

AceType:       0x12 (SYSTEM_RESOURCE_ATTRIBUTE_ACE_TYPE)
AceFlags:      0x1  (SDDL_CONTAINER_INHERIT)
Access Mask:   0x0
Ace Sid      : (S-1-1-0)
Resource Attributes: Project has the strings Windows and SQL, Secrecy has the unsigned int value of 3

Para obter mais informações, consulte Formato de cadeia de caracteres do descritor de segurança e Cadeias de caracteres SID. Para ACEs condicionais, consulte Linguagem de definição de descritor de segurança para ACEs condicionais.

Confira também

[MS-DTYP]: linguagem de descrição do descritor de segurança

Compartilhar via