Access Control List (ACL)
Eintrag zuletzt aktualisiert am: 15.09.2011
Access Control List ist ein zentraler Begriff aus dem Sicherheitssystem von Windows.
Jeder Benutzer und jede Benutzergruppe besitzt einen so genannten
Security Identifier (kurz:
SID), der den Benutzer bzw. die Gruppe eindeutig identifiziert. Ein
SID ist ein Zahlenarray variabler Länge.
SD
Jedes Objekt (z.B. eine Datei, ein Dateiordner, ein Eintrag im
Active Directory, ein
Registrierungsschlüssel) besitzt zur Speicherung der Zugriffsrechte einen so genannten
Security Descriptor (kurz: SD; dt. Sicherheitsbeschreibung). Ein SD besteht aus drei Teilen:
- Aus dem Security Identifier (SID) des Besitzers. Ein SID ist ein Zahlenarray variabler Länge.
- Aus einer Discretionary ACL (DACL), die die Zugriffsrechte beschreibt.
- Aus einer System ACL (SACL), die die Überwachungseinstellungen enthält.
ACL und ACE
Eine Access Control List (ACL) (sowohl
DACL als auch
SACL) besteht aus Access Control Entries (
ACE). Ein
ACE wiederum enthält folgende Informationen:
- Trustee: der SID des Benutzers bzw. der Gruppe.
- AceType: Der Typ ist entweder ACCESSALLOWED_ACE (0) oder ACCESS_DENIED_ACE (1). ACEs in einer SACL haben immer den Typ SYSTEM_AUDITACE.
- AccessMask: Die AccessMask definiert die Rechte. Für jeden Objekttyp gibt es unterschiedliche Rechte. Jedes Recht ist dabei ein Bit bzw. eine Kombination von Bits in diesem Long-Wert. Eine AccessMask besteht in der Regel aus der Addition mehrerer einzelner Zugriffsrechte.
- AceFlags: Über die AceFlags wird die Vererbung der Rechte gesteuert.