Access Control List: Was ist die ACL?

Die Access Control List oder ACL steuert innerhalb eines Betriebssystems den Zugriff auf einzelne Objekte und Ressourcen. Unsere Kurzerklärung der ACL in Windows.

Allgemeines

Eine Access Control List (ACL) oder auf Deutsch „Zugriffssteuerungsliste“ im Allgemeinen dient dazu, den Zugriff auf ein Datenobjekt einzuschränken. ACL bestehen dabei aus Einträgen, sogenannten ACE („Access Control Entries“ oder „Zugriffssteuerungseinträgen“), die jeweils eine Zugriffsregel näher beschreiben. Zum Beispiel kann ein Eintrag den Zugriff auf ein bestimmtes Objekt (zum Beispiel einer Datei in einem Dateisystem; diesem ist die jeweilige ACL zugeordnet) für einen bestimmten Benutzer (oder eine Gruppe von Benutzern) auf eine Zugriffsebene (zum Beispiel „Nur Anzeigen“ oder „Bearbeiten“) festlegen.

ACL in Microsoft Windows

In Microsoft Windows können zahlreiche Objekttypen über einen Security Descriptor eine ACL besitzen: Prozesse, Verzeichnisse, Dateien, Organisationseinheiten im Active Directory, Postfächer in Exchange Server und viele mehr. Für ACL im Dateisystem NTFS sind für einen ACE innerhalb einer ACL folgende Möglichkeiten vorgesehen:

  • Es kann sowohl ein einzelner Benutzer als auch eine Gruppe berechtigt werden. In Windows wird der Name des Benutzers oder der Gruppe angezeigt. Eingetragen wird jedoch die SID des jeweiligen Objekts. (siehe auch LINK: SID)

  • Die Benutzer und Gruppen können entweder lokale Benutzer des Computers oder Benutzer und Gruppen aus dem Active Directory sein

  • Berechtigungen können zugelassen oder verweigert werden (ACE mit verweigerten Berechtigungen werden automatisch an den Beginn der ACL geschrieben. Somit gilt „Verweigert“ schlägt „Zugelassen“).

  • Einträge können vom Überordner vererbt werden oder explizit gesetzt werden (Explizite Einträge stehen über vererbten Einträgen)

  • Jeder Eintrag kann bestimmte Berechtigungen umfassen (welche Berechtigungen existieren, wird von NTFS vorgegeben).

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.