Permissões e descritores de segurança

Todo recipiente e objeto da rede tem um conjunto de informações sobre o controle de acesso anexado a ele. Denominadas descritores de segurança, essas informações controlam o tipo de acesso permitido a usuários e grupos. O descritor de segurança é criado automaticamente junto com o recipiente ou objeto. Um arquivo é um exemplo comum de um objeto com um descritor de segurança.

As permissões são definidas em um descritor de segurança do objeto. Elas são associadas a usuários e grupos específicos, ou a eles atribuídas. Por exemplo, para o arquivo Temp.dat, ao grupo interno Administradores podem ser atribuídas as permissões Ler, Gravar e Excluir, enquanto ao grupo Operadores de backup podem ser atribuídas apenas as permissões Ler e Gravar.

Cada atribuição de permissões a um usuário ou grupo é representada no sistema como uma entrada de controle de acesso (ACE). O conjunto todo de entradas de permissão em um descritor de segurança é conhecido como conjunto de permissões ou lista de controle de acesso (ACL). Portanto, para um arquivo denominado Temp.dat, o conjunto de permissões inclui duas entradas de permissão, uma para o grupo interno Administradores e outra para o grupo Operadores de backup.

Permissões explícitas e herdadas

Há dois tipos de permissão: permissões explícitas e permissões herdadas.

  • As permissões explícitas são aquelas definidas por padrão em objetos que não são filho quando o objeto é criado, ou por ação do usuário em objetos pai, filho ou não-filho.

  • As permissões herdadas são as propagadas até um objeto a partir de um objeto pai. As permissões herdadas facilitam a tarefa de gerenciar permissões e garantir a consistência das permissões em todos os objetos de um determinado recipiente.

Por padrão, os objetos de um recipiente herdam as permissões desse recipiente ao serem criados. Por exemplo, quando você cria uma pasta denominada MinhaPasta, todas as subpastas e todos os arquivos criados nela herdam automaticamente as suas permissões. Portanto, MinhaPasta possui permissões explícitas e as subpastas e os arquivos terão permissões herdadas.

Observação

As permissões de negação herdadas não impedirão o acesso a um objeto se ele tiver uma entrada de permissão Permitir explícita. As permissões explícitas têm precedência sobre as permissões herdadas, até mesmo sobre as permissões de negação herdadas.

Referências adicionais


Sumário