访问控制列表 (ACL) 保护 Active Directory 域服务中的所有对象。 ACL 确定谁可以查看对象、他们可以读取的属性,以及每个用户可以对对象执行的作。 对象或属性的存在永远不会向未经授权的用户透露。
ACL 是随其保护的对象一起存储的访问控制项(ACE)的列表。 在 Windows NT 和 Windows 2000 中,ACL 存储为二进制值,称为安全描述符。 每个 ACE 都包含一个安全标识符(SID),用于标识 ACE 向其应用主体(用户或组),以及有关 ACE 授予或拒绝的访问类型的数据。
目录对象的 ACL 包含应用于整个对象的 ACE,以及应用于对象的各个属性的 ACE。 这样,管理员不仅可以控制哪些用户可以查看对象,还可以控制这些用户可以查看的属性。 例如,可能会向所有用户授予对电子邮件和电话号码属性的读取访问权限,但用户的安全属性可能会被拒绝给特殊安全管理员组的所有成员。 可以向单个用户授予对个人属性(如电话和邮寄地址)的写入访问权限,这些属性位于自己的用户对象上。