Windows Ortamında Erişim Kontrol Kayıtları (ACE)

Windows ortamında bir kullanıcının veya grubun belli bir nesneye erişimlerinin kontrolü için erişim kontrol kayıtları (Access Control Entry – ACE) kullanılır. Bu yazıda Windows ortamında erişim kontrol kayıtları incelenecektir.

Access Control Entry (ACE), Access Control List (ACL)’in bir elementidir. Bir erişim kontrol listesinde bir, birden fazla ya da 0 tane ACE nesnesi bulunabilir. Herbir ACE nesnesi, bir kullanıcının ya da grubun bir nesneye erişimini kontrol etmekte veya denetlemede kullanılır.

Bir kullanıcı ya da gruba bir nesne üzerinde erişme veya engelleme izni vermekte kullanılabilir. Yine aynı şekilde bir nesneye erişen bir kullanıcı için başarılı veya başarısız erişim denetimlerinde kullanılırlar.

access-control-entry-on-windows-01

Nesnelere Erişim İzinleri

 

ACE nesneleri Windows kullanıcı arayüzü ile görüntülenip düzenlenebilir. Yukarıdaki ekran görüntüsünde birden fazla ACE nesnesi görülmektedir. Her bir ACE nesnesinin izin ver (allow) ya da engelle (deny) olacak şekilde türü bulunmaktadır. Name kısmında izin verilecek ya da engellenecek kullanıcı ya da grup ismi görüntülenmektedir. ACE nesneleri üst dizinden kalıtım yolu ile alt dizine aktarılabilir. Aynı zamanda “Apply To” seçeneği ile ihtiyaca göre alt dizin veya dosyalara uygulanabilmektedir.

Apply Onto seçenekleri:

  • This folder only
  • The folder, subfolders and files
  • This folder and subfolders
  • This folder and files
  • Subfolders and files only
  • Subfolders only
  • Files only

Bir ACE nesnesinde detaylı olarak çok farklı türde izin verilebilir. Verilebilecek ya da engellenebilecek izinler aşağıdaki gibidir:

  • Traverse Folder/Execute File
  • List Folder/Read Data
  • Read Attributes
  • Read Extended Attributes
  • Create Files/Write Data
  • Create Folders/Append Data
  • Write Attributes
  • Delete Subfolders and Files
  • Delete
  • Read Permissions
  • Change Permissions
  • Take Ownership

Daha detaylı bilgi aşağıdaki adreslerde bulunabilir:

http://technet.microsoft.com/en-us/library/cc776140(v=ws.10).aspx
http://technet.microsoft.com/en-us/library/cc787794(v=ws.10).aspx

Her bir ACE nesnesi bir üst dizinden kalıtım yoluyla aktarılabilir. Bir ACE nesnesinin kalıtım yoluyla aktarılıp aktarılmadığı Inhereted From sekmesinden anlaşılabilir. Eğer ilgili ACE nesnesi bulunduğu dizin üzerinde oluşturulmuşsa, Inhereted From alanında şekilde görüldüğü gibi <not inhereted> yazdığı görülebilir. Kalıtım yoluyla üst dizinlerden aktarılıyorsa yine Inhereted From alanında ilgili ACE nesnesinin hangi dizinden aktarıldığını gösteren PATH değeri görülebilir. Kalıtım yoluyla aktarılan izinleri alt dizinlerden değiştirme durumu yoktur ve kalıtım yoluyla aktarılan izinler arayüzde gri kutucuk şeklinde gözükür ve bu dizinden değiştirilemeyeceğini simgeler.

İstenirse üst klasörden kalıtım yoluyla gelen izinler reddedilebilir. Bunun için “Include inheritable permissions from the object’s parent” kutucuğundaki seçili işaretin (tick) kaldırılması yeterli olacaktır. Bu seçim kaldırıldığında yeni bir pencere açılacaktır ve üstten kalıtım yoluyla aktarılan izinlerin ilgili nesne üzerindeki durumları hakkında seçim yapılması istenir. Add seçeneği seçilirse kalıtım yoluyla gelen izinler sanki bu nesne üzerinde verilmiş gibi olacaktır ve bu izinler ilgili dizinde uygulanmaya devam edecektir. Bu izinlerin Inhereted From sekmesinde artık üst dizinin yolu yerine <not inherited> görünecektir. Açılan pop-up pencereye Remove seçeneği seçilirse, üst dizinden kalıtım yoluyla gelen tüm izinler ilgili klasörden kaldırılacaktır. İlgili dizinde yalnızca <not inhereted> olarak görünen izinler kalacaktır.

Include inheritable permissions from the object’s parent” seçeneğinin hemen altında bulunan “Replace all child object permissions with inheritable permissions from this object” seçeneği ile ise alt dizine kalıtım yoluyla aktarılabilecek tüm ACE nesnelerinin, alt dizinlere aktarılmasında kullanılır.

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.