Access Control List: Was ist die ACL?

Die Access Control List oder ACL steuert innerhalb eines Betriebssystems den Zugriff auf einzelne Objekte und Ressourcen. Unsere Kurzerklärung der ACL in Windows.

Allgemeines

Die Access Control List bzw. ACL (deutsch: Zugriffssteuerungsliste) dient im Allgemeinen dazu, den Zugriff auf ein Datenobjekt zu steuern. Die ACL besteht dabei aus Einträgen, sogenannten ACE („Access Control Entries“ oder „Zugriffssteuerungseinträgen“), die jeweils eine Zugriffsregel näher beschreiben. Zum Beispiel kann ein Eintrag einem Benutzer die Berechtigung Lesen oder Bearbeiten für das jeweilige Objekt zuweisen. Ebenso kann die ACL den Zugriff für bestimmte User explizit sperren.

Mehr zum Ablauf der Authentifizierung und Autorisierung in Windows erfahren Sie in unserem Blog-Artikel.

ACL in Microsoft Windows

In Microsoft Windows können zahlreiche Objekttypen über einen Security Descriptor eine ACL besitzen: Prozesse, Verzeichnisse, Dateien, Organisationseinheiten im Active Directory, Exchange Postfächer und viele mehr. Für ACL im Dateisystem NTFS sind für einen ACE innerhalb einer ACL folgende Möglichkeiten vorgesehen:

  • Es kann sowohl ein einzelner Benutzer als auch eine Gruppe berechtigt werden. In Windows wird der Name des Benutzers oder der Gruppe angezeigt. Eingetragen wird jedoch die SID des jeweiligen Objekts.

  • Die Benutzer und Gruppen können entweder lokale Benutzer des Computers oder Benutzer und Gruppen aus dem Active Directory sein.

  • Berechtigungen können zugelassen oder verweigert werden (ACE mit verweigerten Berechtigungen werden automatisch an den Beginn der ACL geschrieben. Somit hat Verweigern Priorität vor Zulassen).

  • Einträge können vom Überordner vererbt werden oder explizit gesetzt werden (Explizite Einträge stehen über vererbten Einträgen).

  • Jeder Eintrag kann bestimmte Rechte umfassen (welche das sind, wird durch die NTFS Berechtigungen vorgegeben).

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.