Allgemeines

Eine Access Control List (ACL) oder auf Deutsch „Zugriffssteuerungsliste“ im Allgemeinen dient dazu, den Zugriff auf ein Datenobjekt einzuschränken. ACL bestehen dabei aus Einträgen, sogenannten ACE („Access Control Entries“ oder „Zugriffssteuerungseinträgen“), die jeweils eine Zugriffsregel näher beschreiben. Zum Beispiel kann ein Eintrag den Zugriff auf ein bestimmtes Objekt (zum Beispiel einer Datei in einem Dateisystem; diesem ist die jeweilige ACL zugeordnet) für einen bestimmten Benutzer (oder eine Gruppe von Benutzern) auf eine Zugriffsebene (zum Beispiel „Nur Anzeigen“ oder „Bearbeiten“) festlegen.

ACL in Microsoft Windows

In Microsoft Windows können zahlreiche Objekttypen über einen Security Descriptor eine ACL besitzen: Prozesse, Verzeichnisse, Dateien, Organisationseinheiten im Active Directory, Postfächer in Exchange Server und viele mehr.
Für ACL im Dateisystem NTFS sind für einen ACE innerhalb einer ACL folgende Möglichkeiten vorgesehen:

  • Es kann sowohl ein einzelner Benutzer als auch eine Gruppe berechtigt werden. In Windows wird der Name des Benutzers oder der Gruppe angezeigt. Eingetragen wird jedoch die SID des jeweiligen Objekts. (siehe auch LINK: SID)
  • Die Benutzer und Gruppen können entweder lokale Benutzer des Computers oder Benutzer und Gruppen aus dem Active Directory sein
  • Berechtigungen können zugelassen oder verweigert werden (ACE mit verweigerten Berechtigungen werden automatisch an den Beginn der ACL geschrieben. Somit gilt „Verweigert“ schlägt „Zugelassen“).
  • Einträge können vom Überordner vererbt werden oder explizit gesetzt werden (Explizite Einträge stehen über vererbten Einträgen)
  • Jeder Eintrag kann bestimmte Berechtigungen umfassen (welche Berechtigungen existieren, wird von NTFS vorgegeben).

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download