Access Control List: Was ist die ACL?
Die Access Control List oder ACL steuert innerhalb eines Betriebssystems den Zugriff auf einzelne Objekte und Ressourcen. Unsere Kurzerklรคrung der ACL in Windows.
Allgemeines
Die Access Control List bzw. ACL (deutsch: Zugriffssteuerungsliste) dient im Allgemeinen dazu, den Zugriff auf ein Datenobjekt zu steuern. Die ACL besteht dabei aus Eintrรคgen, sogenannten ACE (โAccess Control Entriesโ oder โZugriffssteuerungseintrรคgenโ), die jeweils eine Zugriffsregel nรคher beschreiben. Zum Beispiel kann ein Eintrag einem Benutzer die Berechtigung Lesen oder Bearbeiten fรผr das jeweilige Objekt zuweisen. Ebenso kann die ACL den Zugriff fรผr bestimmte User explizit sperren.
Mehr zum Ablauf der Authentifizierung und Autorisierung in Windows erfahren Sie in unserem Blog-Artikel.
ACL in Microsoft Windows
In Microsoft Windows kรถnnen zahlreiche Objekttypen รผber einen Security Descriptor eine ACL besitzen: Prozesse, Verzeichnisse, Dateien, Organisationseinheiten im Active Directory, Exchange Postfรคcher und viele mehr. Fรผr ACL im Dateisystem NTFS sind fรผr einen ACE innerhalb einer ACL folgende Mรถglichkeiten vorgesehen:
Es kann sowohl ein einzelner Benutzer als auch eine Gruppe berechtigt werden. In Windows wird der Name des Benutzers oder der Gruppe angezeigt. Eingetragen wird jedoch dieย SIDย des jeweiligen Objekts.
Die Benutzer und Gruppen kรถnnen entweder lokale Benutzer des Computers oder Benutzer und Gruppen aus dem Active Directory sein.
Berechtigungen kรถnnen zugelassen oder verweigert werden (ACE mit verweigerten Berechtigungen werden automatisch an den Beginn der ACL geschrieben. Somit hat Verweigern Prioritรคt vor Zulassen).
Eintrรคge kรถnnen vom รberordner vererbt werden oder explizit gesetzt werden (Explizite Eintrรคge stehen รผber vererbten Eintrรคgen).
Jeder Eintrag kann bestimmte Rechte umfassen (welche das sind, wird durch die NTFS Berechtigungen vorgegeben).
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.