访问控制列表

ACL (访问控制) 是 ACE (访问控制) 。 ACL 中的每个 ACE 标识一个受信者,并指定该受信者允许、拒绝或审核的访问权限。 安全 对象的安全 描述 可以包含两种类型的 ACL:DACL 和 SACL。

DACL (自由 访问控制) 标识允许或拒绝访问安全对象的受信者。 当 进程 尝试访问安全对象时,系统会检查对象的 DACL 中的 AES 以确定是否授予对该对象的访问权限。 如果对象没有 DACL,则系统会向每个人授予完全访问权限。 如果对象的 DACL 没有 AES,则系统会拒绝所有访问对象的尝试,因为 DACL 不允许任何访问权限。 系统会按顺序检查 AES,直到找到一个或多个允许所有请求的访问权限的 AES,或直到任何请求的访问权限被拒绝。 有关详细信息,请参阅 DACLs 如何控制对对象的访问。 若要了解如何正确创建 DACL,请参阅 创建 DACL

使用 SACL ( 系统) 允许管理员记录访问安全对象的尝试。 每个 ACE 指定指定受信者的访问尝试类型,这些访问尝试会导致系统在安全事件日志中生成记录。 SACL 中的 ACE 可以在访问尝试失败、成功时或同时生成审核记录。 有关 S ACL 详细信息,请参阅审核生成和 SACL 访问权限

不要尝试直接处理 ACL 的内容。 若要确保 ACL 在语义上正确,请使用相应的函数来创建和操作 ACL。 有关详细信息,请参阅从ACL 获取信息创建或修改 ACL。

ACL 还提供对 Microsoft Active Directory 目录服务对象的访问控制。 ACTIVE Directory 服务接口 (ADSI) 包括用于创建和修改这些 ACL 内容的例程。 有关详细信息,请参阅 控制对 Active Directory 对象的访问