Access Control List: Was ist die ACL?

Die Access Control List oder ACL steuert innerhalb eines Betriebssystems den Zugriff auf einzelne Objekte und Ressourcen. Unsere Kurzerklรคrung der ACL in Windows.

Allgemeines

Die Access Control List bzw. ACL (deutsch: Zugriffssteuerungsliste) dient im Allgemeinen dazu, den Zugriff auf ein Datenobjekt zu steuern. Die ACL besteht dabei aus Eintrรคgen, sogenannten ACE (โ€žAccess Control Entriesโ€œ oder โ€žZugriffssteuerungseintrรคgenโ€œ), die jeweils eine Zugriffsregel nรคher beschreiben. Zum Beispiel kann ein Eintrag einem Benutzer die Berechtigung Lesen oder Bearbeiten fรผr das jeweilige Objekt zuweisen. Ebenso kann die ACL den Zugriff fรผr bestimmte User explizit sperren.

Mehr zum Ablauf der Authentifizierung und Autorisierung in Windows erfahren Sie in unserem Blog-Artikel.

ACL in Microsoft Windows

In Microsoft Windows kรถnnen zahlreiche Objekttypen รผber einen Security Descriptor eine ACL besitzen: Prozesse, Verzeichnisse, Dateien, Organisationseinheiten im Active Directory, Exchange Postfรคcher und viele mehr. Fรผr ACL im Dateisystem NTFS sind fรผr einen ACE innerhalb einer ACL folgende Mรถglichkeiten vorgesehen:

  • Es kann sowohl ein einzelner Benutzer als auch eine Gruppe berechtigt werden. In Windows wird der Name des Benutzers oder der Gruppe angezeigt. Eingetragen wird jedoch dieย SIDย des jeweiligen Objekts.

  • Die Benutzer und Gruppen kรถnnen entweder lokale Benutzer des Computers oder Benutzer und Gruppen aus dem Active Directory sein.

  • Berechtigungen kรถnnen zugelassen oder verweigert werden (ACE mit verweigerten Berechtigungen werden automatisch an den Beginn der ACL geschrieben. Somit hat Verweigern Prioritรคt vor Zulassen).

  • Eintrรคge kรถnnen vom รœberordner vererbt werden oder explizit gesetzt werden (Explizite Eintrรคge stehen รผber vererbten Eintrรคgen).

  • Jeder Eintrag kann bestimmte Rechte umfassen (welche das sind, wird durch die NTFS Berechtigungen vorgegeben).

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tรคtig. Er ist damit fรผr den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmรครŸig themenbezogene Beitrรคge aus dem Bereich Identity & Access Management.