Access Control List (ACL)

Eintrag zuletzt aktualisiert am: 15.09.2011

Access Control List ist ein zentraler Begriff aus dem Sicherheitssystem von Windows.

SID

---

Jeder Benutzer und jede Benutzergruppe besitzt einen so genannten Security Identifier (kurz: SID), der den Benutzer bzw. die Gruppe eindeutig identifiziert. Ein SID ist ein Zahlenarray variabler Länge.

SD

---

Jedes Objekt (z.B. eine Datei, ein Dateiordner, ein Eintrag im Active Directory, ein Registrierungsschlüssel) besitzt zur Speicherung der Zugriffsrechte einen so genannten Security Descriptor (kurz: SD; dt. Sicherheitsbeschreibung). Ein SD besteht aus drei Teilen:

• Aus dem Security Identifier (SID) des Besitzers. Ein SID ist ein Zahlenarray variabler Länge.
• Aus einer Discretionary ACL (DACL), die die Zugriffsrechte beschreibt.
• Aus einer System ACL (SACL), die die Überwachungseinstellungen enthält.

ACL und ACE

---

Eine Access Control List (ACL) (sowohl DACL als auch SACL) besteht aus Access Control Entries (ACE). Ein ACE wiederum enthält folgende Informationen:

• Trustee: der SID des Benutzers bzw. der Gruppe.
• AceType: Der Typ ist entweder ACCESSALLOWED_ACE (0) oder ACCESS_DENIED_ACE (1). ACEs in einer SACL haben immer den Typ SYSTEM_AUDITACE.
• AccessMask: Die AccessMask definiert die Rechte. Für jeden Objekttyp gibt es unterschiedliche Rechte. Jedes Recht ist dabei ein Bit bzw. eine Kombination von Bits in diesem Long-Wert. Eine AccessMask besteht in der Regel aus der Addition mehrerer einzelner Zugriffsrechte.
• AceFlags: Über die AceFlags wird die Vererbung der Rechte gesteuert.