用于控制对对象属性的访问的 AES

目录 服务 (DS) 对象的 (DACL) 自由访问控制列表 (AES) 层次结构,如下所示:

  1. 保护对象本身的 AES
  2. 保护对象上 指定属性集的特定于对象的 AES
  3. 保护对象上的指定属性的特定于对象的 AES

在此层次结构中,在较高级别授予或拒绝的权限也适用于较低级别。 例如,如果属性集上特定于对象的 ACE 允许受信者 ADS RIGHT DS READ PROP 权限,则受信者对该属性集的所有属性具有隐式 _ _ _ _ 读取访问权限。 同样,允许 ADS RIGHT DS READ PROP 访问的对象本身的 ACE 为受信者提供对该对象的所有 _ _ _ _ 属性的读取访问权限。

下图显示了假设 DS 对象的树及其属性集和属性。

目录服务对象层次结构

假设要允许以下访问此 DS 对象的属性:

  • 允许组 A 对对象的所有属性具有读/写权限
  • 允许其他人对除属性 D 以外的所有属性拥有读/写权限

为此,请设置对象的 DACL 中的 AES,如下表所示。

受托 人 对象 GUID ACE 类型 访问权限
组 A 允许访问的 ACE ADS _ RIGHT _ DS _ READ _ PROP | ADS _ RIGHT _ DS _ WRITE _ PROP
所有人 属性集 1 允许访问的对象 ACE ADS _ RIGHT _ DS _ READ _ PROP | ADS _ RIGHT _ DS _ WRITE _ PROP
所有人 属性 C 允许访问的对象 ACE ADS _ RIGHT _ DS _ READ _ PROP | ADS _ RIGHT _ DS _ WRITE _ PROP

组 A 的 ACE 没有对象 GUID,这意味着它允许访问对象的所有属性。 属性集 1 的特定于对象的 ACE 允许所有人访问属性 A 和 B。另一个特定于对象的 ACE 允许所有人访问属性 C。请注意,尽管此 DACL 没有任何拒绝访问的 ACE,但它隐式拒绝对除组 A 以外的所有人的"属性 D"访问。

当用户尝试访问对象的 属性时,系统会检查 AES,直到显式授予、拒绝请求的访问权限,或者没有更多的 AES(在这种情况下,会隐式拒绝访问)。

系统评估:

  • 应用于对象本身的 AES
  • 应用于包含要访问的属性的属性集的对象特定 AES
  • 应用于要访问的属性的特定于对象的 AES

系统忽略应用于其他属性集或属性的特定于对象的 AES。