Machtigingen en security descriptors

Aan elke container en elk object op het netwerk is een set gegevens voor toegangsbeheer gekoppeld. Deze gegevens, ook wel aangeduid met de term security descriptor, bepalen welk type toegang is toegestaan voor gebruikers en groepen. De security descriptor wordt automatisch gemaakt wanneer een container of object wordt gemaakt. Een typisch voorbeeld van een object met een security descriptor is een bestand.

Machtigingen worden gedefinieerd binnen de security descriptor van een object. Machtigingen worden gekoppeld of toegewezen aan specifieke gebruikers en groepen. Voor het bestand Temp.dat kunnen aan de ingebouwde groep Administrators bijvoorbeeld de machtigingen Lezen, Schrijven en Verwijderen worden toegewezen, terwijl de groep Back-upoperators alleen de machtigingen Lezen en Schrijven krijgt.

Elke toewijzing van machtigingen aan een gebruiker of groep wordt in het systeem vertegenwoordigd door een machtigingsvermelding (Access Control Entry). Alle machtigingsvermeldingen in een security descriptor vormen tezamen een machtigingsset of ACL (Access Control List, toegangsbeheerlijst). Voor een bestand met de naam Temp.dat bevat de machtigingsset dus twee machtigingsvermeldingen, één voor de ingebouwde groep Administrators en één voor de groep Back-upoperators.

Expliciete en overgenomen machtigingen

Machtigingen zijn onder te verdelen in twee typen: expliciete machtigingen en overgenomen machtigingen.

  • Expliciete machtigingen zijn machtigingen die standaard worden ingesteld voor niet-onderliggende objecten wanneer deze objecten worden gemaakt, of die door een gebruiker worden ingesteld voor niet-onderliggende, bovenliggende of onderliggende objecten.

  • Overgenomen machtigingen zijn machtigingen die aan een object worden doorgegeven door een bovenliggend object. De overname van machtigingen vereenvoudigt het beheer van machtigingen en vergroot de consistentie van machtigingen voor alle objecten in een bepaalde container.

Wanneer u objecten maakt, worden daarvoor standaard de machtigingen overgenomen van de container waarin ze zijn gemaakt. Wanneer u bijvoorbeeld de map MijnMap maakt, worden voor alle submappen en bestanden die in MijnMap worden gemaakt automatisch de machtigingen overgenomen van die map. MijnMap heeft dus expliciete machtigingen, terwijl alle submappen en bestanden in deze map overgenomen machtigingen hebben.

Opmerking

Overgenomen negatieve machtigingen kunnen toegang tot een object niet voorkomen als voor het object een expliciete positieve toegangsmachtiging is ingesteld. Expliciete machtigingen hebben voorrang op overgenomen machtigingen, met inbegrip van overgenomen negatieve machtigingen.

Aanvullende naslaginformatie


Inhoudsopgave