По соображениям безопасности не все пользователи и компьютеры в среде AD могут получить доступ ко всем объектам и файлам. Эти типы разрешений контролируются с помощью списков контроля доступа (ACL). Небольшая неправильная настройка списка управления доступом представляет серьезную угрозу для системы безопасности домена и может привести к утечке разрешений для других объектов, которым это не нужно.
В своей простейшей форме списки управления доступом представляют собой списки, которые определяют:
а) кто имеет доступ к какому активу / ресурсу
б) уровень доступа, который им предоставлен.
Сами настройки в списке управления доступом вызываются Access Control Entries (ACEs). Каждый ACE сопоставляется пользователю, группе или процессу (также известному как участники безопасности) и определяет права, предоставленные этому участнику. У каждого объекта есть ACL, но может быть несколько ACES, поскольку несколько участников безопасности могут получать доступ к объектам в AD. ACL также можно использовать для аудита доступа в AD.
Существует два типа списков управления доступом:
Discretionary Access Control List (DACL) - определяет, каким участникам безопасности предоставляется или запрещен доступ к объекту. Списки DACL состоят из ACE, которые либо разрешают, либо запрещают доступ. Когда кто-либо пытается получить доступ к объекту, система проверяет DACL на наличие разрешенного уровня доступа. Если DACL для объекта не существует, всем, кто пытается получить доступ к объекту, предоставляются полные права. Если DACL существует, но в нем нет записей ACE, указывающих конкретные параметры безопасности, система запретит доступ всем пользователям, группам или процессам, пытающимся получить к нему доступ.System Access Control Lists (SACL) - позволяет администраторам регистрировать попытки доступа к защищенным объектам.Мы видим ACL для учетной записи пользователя forend на изображении ниже. Каждый элемент в разделе Permission entries составляет DACL для учетной записи пользователя, в то время как отдельные записи (такие как Full Control или Change Password) являются записями ACE, показывающими права, предоставленные в отношении этого пользовательского объекта различным пользователям и группам.
Списки SACL можно увидеть на Auditing вкладке.
