Anwenden von Sicherheitsdeskriptoren zur Anwendung der Datei- und Ordnersicherheit
Sicherheitsdeskriptoren enthalten die Zugriffssteuerungslisten, die bestimmen, welche Aktionen ein Benutzer für Dateien und Ordner ausführen kann, und welche Daten geprüft werden, wenn ein Benutzer auf Dateien und Ordner zugreift.
-
Berechtigungen
Berechtigungen werden vom Eigentümer eines Objekts erlaubt oder verweigert und bestimmen, welche Aktionen ein Objekt (Benutzer, Gruppen oder Computerobjekte) auf bestimmten Dateien oder Ordnern ausführen kann.
-
Sicherheitsdeskriptoren
Sicherheitsdeskriptoren sind Datenstrukturen, die Sicherheitsinformationen enthalten, die Berechtigungen definieren, die einer Datei oder einem Ordner zugeordnet sind.
-
Zugriffssteuerungslisten (ACLs)
Zugriffssteuerungslisten sind die Listen in einem Sicherheitsdeskriptor, die Informationen darüber enthalten, welche Aktionen Benutzer, Gruppen oder Computerobjekte in der Datei oder dem Ordner ausgeführt werden können, auf den der Sicherheitsdeskriptor angewendet wird. Der Sicherheitsdeskriptor kann die folgenden zwei Typen von ACLs enthalten:
-
Frei wählbare Zugriffssteuerungslisten
-
Systemzugriffssteuerungslisten (SACLs)
-
-
Ermessenslisten für die Zugriffskontrolle (DACLs)
DACLs enthalten die Liste von SIDS für Benutzer, Gruppen und Computerobjekte, die Zugriff auf Aktionen in Dateien oder Ordnern haben oder deren Zugriff verweigert wird. DACLs enthalten mindestens null Aces (Access Control Entries).
-
System Access Control Lists (SACLs)
SACLs enthalten die Liste von SCDs für die Benutzer, Gruppen und Computerobjekte, für die erfolgreiche oder fehlgeschlagene Überwachungsereignisse protokolliert werden. SACLs enthalten mindestens Null Zugangskontrolleinträge (Aces).
-
* Access Control-Einträge (Asse)*
Aces sind individuelle Einträge in DACLs oder SACLs:
-
Ein Eintrag für die DACL-Zugriffssteuerung legt die Zugriffsrechte fest, die für bestimmte Benutzer, Gruppen oder Computerobjekte zulässig oder verweigert werden.
-
Ein Eintrag zur SACL-Zugriffssteuerung gibt die Erfolg- oder Fehlerereignisse an, die bei der Prüfung der angegebenen Aktionen, die von bestimmten Benutzern, Gruppen oder Computerobjekten durchgeführt werden, protokolliert werden sollen.
-
-
Erben der Erlaubnis
Die Berechtigungsvererbung beschreibt, wie in Sicherheitsdeskriptoren definierte Berechtigungen aus einem übergeordneten Objekt auf ein Objekt übertragen werden. Nur vererbbare Berechtigungen werden von untergeordneten Objekten übernommen. Wenn Sie Berechtigungen für das übergeordnete Objekt festlegen, können Sie festlegen, ob Ordner, Unterordner und Dateien diese mit „
Apply to `this-folder
,sub-folders
undfiles`
“ erben können.