访问控制

  • 项目

 

上一次修改主题: 2005-04-19

若要在目录林的域命名上下文中管理对象的 Exchange 相关属性,必须将修改权限授予 Exchange Administrators 组。这是通过对包含属性的对象上的安全描述符进行修改来完成的。

安全描述符包含两个访问控制列表 (ACL)。ACL 是那些能够访问或被拒绝访问某项资源或对象的用户或安全组对象所组成的列表。ACL 允许将粒度化权限应用于整个对象、一组对象属性或对象的单个属性。对象的安全描述符中有两种类型的访问控制列表:

  • 任意访问控制列表 (DACL) DACL 用于标识被分配或拒绝了对象访问权的用户和组。如果 DACL 没有显式地标识某个用户,或用户是其成员的任何组,则系统将拒绝该用户访问此对象。默认情况下,DACL 由对象的所有者或创建对象的人控制,它包含了用于确定用户对该对象的访问权的访问控制条目。
  • 系统访问控制列表 (SACL) SACL 用于当要审核的用户和组访问对象成功或失败时对这些用户和组进行标识。默认情况下,SACL 由对象的所有者或创建对象的人控制。SACL 包含访问控制条目,它们可以确定当用户使用给定的权限(例如“完全控制”和“读取”)访问对象时,是否记录成功或失败的尝试。

访问控制条目 (ACE) 是对象的 DACL 中用于向用户或组授权的条目。ACE 也是在对象的 SACL 中用来指定将要审核用户或组的哪些安全事件的条目。