Active Directory.pdf - Gattner

AD DS-Sicherheitsgrundlagen 273
Zugriffssteuerungsflags legen fest, wie Windows die ACEs innerhalb der Zugriffssteuerungsliste
anwendet. Windows verwendet hauptsächlich die Flags Protected und Automatic. Das geschützte
Flag verhindert, dass die Zugriffssteuerungsliste von einer vererbten Zugriffssteuerungsliste geändert
wird. Dieses Flag entspricht dem Deaktivieren des Kontrollkästchens Berechtigungen übergeordneter
Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Das automatische
Flag entspricht dem Aktivieren des Kontrollkästchens Berechtigungen übergeordneter
Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. Dieses Flag lässt die Vererbung
von ACEs in der Zugriffssteuerungsliste an untergeordnete Objekte zu.
Zugriffssteuerungseinträge (ACEs)
Zugriffssteuerungslisten (ACLs) enthalten mindestens einen Zugriffssteuerungseintrag (Access
Control Entry, ACE). Windows unterteilt Zugriffssteuerungseinträge in zwei Typen: Zulassen und
Verweigern. Jeder ACE-Typ weist einen Untertyp object und nonobject-Untertypen auf. Die
Zugriffssteuerungseinträge Zulassen und Verweigern geben die Zugriffsebene an, die das Autorisierungssubsystem
basierend auf dem vom Sicherheitsprinzipal angeforderten Recht zuweist. Objekt-
ACEs sind ausschließlich für Objekte in den AD DS bestimmt, da sie zusätzliche Felder für die
Objektvererbung bieten. Windows verwendet Nicht-Objekt-ACEs für die meisten verbleibenden
Ressourcen, z.B. für Dateisystem- und Registrierungsressourcen. Nicht-Objekt-ACEs ermöglichen
eine Containervererbung – hierbei erbt ein Objekt in einem Container den ACE des Containers.
Dies ähnelt der Dateiberechtigungsvererbung von übergeordneten Ordnern. Jeder ACE-Typ verfügt
über ein Feld für die Rechte und ein Feld für den Vertrauensnehmer. Das Feld für die Rechte
besteht üblicherweise aus einer vordefinierten Zahl, die für eine spezifische Aktion steht, die ein
Sicherheitsprinzipal anfordern kann. Ein Beispiel für ein solches Recht wäre eine Benutzeranforderung
zum Lesen oder Schreiben einer Datei. In diesem Beispiel handelt es sich um zwei separate
Rechte Lesen und Schreiben. Das Feld für den Vertrauensnehmer gibt eine Sicherheitskennung an,
der das spezifische Recht gewährt oder verweigert wurde. Ein Beispiel für einen Vertrauensnehmer
wäre ein Benutzer oder eine Gruppe, dem die im Feld für die Rechte angegebene Aktion gewährt
oder verweigert wurde.
Mike Stephens
Microsoft-Supportmitarbeiter
Zugriffstoken
Der Verbindungspunkt zwischen der Sicherheitskennung und der ACL eines Sicherheitsprinzipals ist
das Zugriffstoken. Wenn Windows den Benutzer unter Verwendung von Kerberos authentifiziert, wird
dem Benutzer während der Anmeldung ein Zugriffstoken auf dem lokalen Computer zugewiesen.
Dieses Token enthält die primäre Sicherheitskennung des Benutzers, die Sicherheitskennungen für
alle Gruppen, denen der Benutzer angehört, sowie die Berechtigungen und Rechte des Benutzers.
Hinweis Das Zugriffstoken kann auch zusätzliche Sicherheitskennungen im SIDHistory-Attribut aufweisen.
Diese Sicherheitskennungen können aufgefüllt werden, wenn Sie Benutzerkonten von einer Domäne in
eine andere verschieben. Eine eingehende Erörterung des SIDHistory-Attributs finden Sie in Kapitel 7, „Migrieren
auf die Active Directory-Domänendienste“.