Verstehen von ACLs

Vorwort
Wie alle neueren Mitglieder der Microsoft Windows Familie überwacht auch Windows Server 2003 die Rechte, die Benutzer
auf Ressourcen haben, mithilfe einer DACL (Directonary Access Control List). DACLs oder kurs ACLs, benennen Benutzer
und Gruppen, für die Berechtigungen auf ein Objekt vergeben oder verweigert werden. Entält eine ACL keine expliziten Angaen
zu einem Benutzer oder einer Gruppe deren Mitglieder der der Benutzer ist, dann wird der Zugriff auf dieses Objekt verweigert.
Sstandardmäßig wird eine ACL om Besitzer des Objektes oder der Person gesteuert, die das Objekt erstellt hat. Die ACL enthält
ACEs, die den Benutzerzugriff auf das Objekt definieren. Ein ACE ist ein Eintrag in die ACL eines Objekts, der Berechtigungen
für einen Benutzer oder eine Gruppe gewährt.

Zwar ist eine Beschreibung von ACLs und ACEs recht komplex, ihre Verwaltung hingegen ist sehr einfach. Abbildung 1 zeigt ein
Windows Server 2003 Dialogfeld zur Verwalgung der Berechtigungen für einen Ordner namens "Tools". Die Sicherheitsgruppe
"GGBerlin" ist markiert, sodass im Dialogfeld die Berechtigungen angezeigt werden, die dieser Gruppe zugewiesen
sind: Ändern, Lesen und Ausführen, Ordnerinhalt auflisten, Lesen und Schreiben. In der Summe erlauben diese
Berechtigungen den Mitgliedern der Sicherheitsgruppe "GGBerlin" sowohl den Inhalt dieses Ordners zu lesen und ihn auch zu löschen.

Eine einzelne Beschreibung der Möglichen Rechte wäre übertrieben, jedoch sollten Sie wissen dass immer die Summe
aller Rechte die einer Person oder Gruppe zugewiesen wird (inklusive möglicher Verschachtelungen von Gruppen) die
effektiven endgültigen Berechtigungen ergibt. Verweigern hat immer Vorrang vor Zulassen!

!Hinweis:
Für alle Benutzer und Gruppüen, die im Dialogfeld aufgeführt sind, ist für den Ordner ein ACE definiert. Dies bedeutet allerdings
nicht notwendigerweise, dass sie auf irgendeine Weise auf den Ordner zugreifen können. Wird die Berechtigung Verweigern
zugewiesen, dann können der Benutzer bzw. die Gruppe nicht auf das Objekt zugreifen, und zwar auch dann nicht, wenn dieser
Zugriff über eine andere Gruppenmitgliedschaft gewährt wurde.

Abbildung 1

Erstellt von: Haßlinger Stefan
Im: Jahr 2006