Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die diskretionäre Zugriffssteuerungsliste (DACL) eines Verzeichnisdienstobjekts (DS) kann eine Hierarchie von Zugriffssteuerungseinträgen (ACEs) enthalten:
- ACEs, die das Objekt selbst schützen
- objektspezifische ACEs, die einen angegebenen Eigenschaftensatz für das Objekt schützen
- Objektspezifische ACEs, die eine angegebene Eigenschaft für das Objekt schützen
Innerhalb dieser Hierarchie gelten die auf einer höheren Ebene gewährten oder verweigerten Rechte auch für die unteren Ebenen. Wenn beispielsweise ein objektspezifischer ACE für einen Eigenschaftensatz einem Trustee das ADS_RIGHT_DS_READ_PROP rechts zulässt, hat der Trustee impliziten Lesezugriff auf alle Eigenschaften dieses Eigenschaftensatzes. Ebenso ermöglicht ein ACE für das Objekt selbst, das ADS_RIGHT_DS_READ_PROP Zugriff ermöglicht, dem Trustee Lesezugriff auf alle Eigenschaften des Objekts.
Die folgende Abbildung zeigt die Struktur eines hypothetischen DS-Objekts und dessen Eigenschaftensätze und Eigenschaften.
Angenommen, Sie möchten den folgenden Zugriff auf die Eigenschaften dieses DS-Objekts zulassen:
- Berechtigung "Gruppieren von A" mit Lese-/Schreibzugriff auf alle Eigenschaften des Objekts zulassen
- Zulassen der Lese-/Schreibberechtigung für alle Eigenschaften außer Eigenschaft D
Legen Sie dazu die ACEs in der DACL des Objekts wie in der folgenden Tabelle dargestellt fest.
| Treuhänder | Objekt-GUID | ACE-Typ | Zugriffsrechte |
|---|---|---|---|
| Gruppe A | Nichts | Access-zulässige ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Jeder | Eigenschaftensatz 1 | Access-zulässiges Objekt ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Jeder | Eigenschaft C | Access-zulässiges Objekt ACE | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
Die ACE für Gruppe A verfügt nicht über eine Objekt-GUID, was bedeutet, dass der Zugriff auf alle Eigenschaften des Objekts ermöglicht wird. Die objektspezifische ACE für Eigenschaftensatz 1 ermöglicht allen Zugriff auf Eigenschaften A und B. Die andere objektspezifische ACE ermöglicht jedem Zugriff auf Eigenschaft C. Beachten Sie, dass diese DACL zwar keine Zugriffsverweigerungs-ACEs hat, jedoch implizit den Zugriff von Property D auf alle Personen mit Ausnahme von Group A verweigert.
Wenn ein Benutzer versucht, auf die Eigenschaft eines Objekts zuzugreifen, überprüft das System die ACEs in der Reihenfolge, bis der angeforderte Zugriff explizit gewährt, verweigert wird oder keine ACEs mehr vorhanden sind, in diesem Fall wird der Zugriff implizit verweigert.
Das System wertet folgendes aus:
- ACEs, die für das Objekt selbst gelten
- Objektspezifische ACEs, die für den Eigenschaftensatz gelten, der die Eigenschaft enthält, auf die zugegriffen wird
- Objektspezifische ACEs, die für die Eigenschaft gelten, auf die zugegriffen wird
Das System ignoriert objektspezifische ACEs, die für andere Eigenschaftensätze oder Eigenschaften gelten.