Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La liste de contrôle d’accès discrétionnaire (DACL) d’un objet de service d’annuaire (DS) peut contenir une hiérarchie d’entrées de contrôle d’accès (AE), comme suit :
- ACEs qui protègent l’objet lui-même
- acEs spécifiques à l’objet qui protègent une propriété spécifiée définie sur l’objet
- ACL spécifiques à l’objet qui protègent une propriété spécifiée sur l’objet
Dans cette hiérarchie, les droits accordés ou refusés à un niveau supérieur s’appliquent également aux niveaux inférieurs. Par exemple, si un ACE spécifique à l’objet d’un ensemble de propriétés autorise un fiduciaire à l’ADS_RIGHT_DS_READ_PROP droit, le fiduciaire a un accès en lecture implicite à toutes les propriétés de ce jeu de propriétés. De même, un ACE sur l’objet lui-même qui autorise ADS_RIGHT_DS_READ_PROP l’accès donne à l’administrateur un accès en lecture à toutes les propriétés de l’objet.
L’illustration suivante montre l’arborescence d’un objet DS hypothétique et ses ensembles de propriétés et propriétés.
Supposons que vous souhaitez autoriser l’accès suivant aux propriétés de cet objet DS :
- Autoriser l’autorisation de groupe A en lecture/écriture à toutes les propriétés de l’objet
- Autoriser tous les autres utilisateurs à accéder en lecture/écriture à toutes les propriétés, à l’exception de la propriété D
Pour ce faire, définissez les ACL de l’objet comme indiqué dans le tableau suivant.
| Fiduciaire | GUID de l’objet | Type ACE | Droits d’accès |
|---|---|---|---|
| Groupe A | Aucun | ACE autorisé par accès | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Tout le monde | Jeu de propriétés 1 | ACE de l’objet autorisé par access | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
| Tout le monde | Propriété C | ACE de l’objet autorisé par access | ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP |
L’ACE pour le groupe A n’a pas de GUID d’objet, ce qui signifie qu’il autorise l’accès à toutes les propriétés de l’objet. L’ACE spécifique à l’objet pour l’ensemble de propriétés 1 permet à tout le monde d’accéder aux propriétés A et B. L’autre ACE spécifique à l’objet autorise tout le monde à accéder à la propriété C. Notez que même si cette liste de contrôle d’accès n’a pas d’AE d’accès refusé par accès, elle refuse implicitement l’accès propriété D à tout le monde, à l’exception du groupe A.
Lorsqu’un utilisateur tente d’accéder à la propriété d’un objet, le système vérifie les ACL, dans l’ordre, jusqu’à ce que l’accès demandé soit explicitement accordé, refusé ou qu’il n’y a plus d’ACL, auquel cas l’accès est implicitement refusé.
Le système évalue :
- ACL qui s’appliquent à l’objet lui-même
- AcEs spécifiques à l’objet qui s’appliquent au jeu de propriétés qui contient la propriété accessible
- AcEs spécifiques à l’objet qui s’appliquent à la propriété accessible
Le système ignore les AE spécifiques à l’objet qui s’appliquent à d’autres jeux de propriétés ou propriétés.