Управление доступом к службе каталогов Служба каталогов Directory Services предлагает детально раз- работанные и специализированные средства защиты доступа. Любому объекту можно предоставить конкретные полномочия на доступ к лю- бому другому объекту или атрибуту. Это делается с помощью атрибу- та ACL (Access Control List). Иметь атрибут ACL может каждый объект. Значения этого атри- бута определяют полномочия, которые имеют над этим объектам дру- гие объекты. ACL содержит не только назначения полномочий, но также маски и в отдельных обстоятельствах ограничения полномочий. Кроме присваивания полномочий непосредственно объекту, вы можете присваивать их с помощью эквивалентности защиты (Sequrity Equals) и назначений через членство в группе (Group Membership). Атрибуты ACL, Group Membarship и Security Equals. Если полномочия объектам в ACL не присваиваются, то полномочия доступа определя- ются путем наследования. Ранее мы уже упоминали, что субъект - это объект, которому присвоены полномочия доступа к целевому объекту или атрибутам. Субъект, которому предоставлены полномочия просмотра, при выпол- нении функций перечисления и поиска может видеть целевой объект. Если просмотр данного целевого объекта для этого субъекта ограни- чен, то этот субъект не сможет видеть объект в списке, выполнять его поиск или использовать для него функции сравнения, даже если он может видеть все другие объекты в данной части дерева катало- га. Чтобы видеть атрибуты, субъект должен иметь также привилегии Compare (сравнение) или Read (чтение). Чтобы считывать значения атрибутов, субъект должен иметь привилегии Read. Полномочия Add (добавление) разрешает добавление подчиненных объектов. Полномочия Delete (удаление) позволяют субъекту удалять сам объект. Полномочия Rename (переименования) позволяет субъекту переименовывать объект. Назначение Supervisor разрешает все пол- номочия доступа к объекту и его атрибутам. Как можно ожидать, полномочия Supervisor не фильтруются мас- кой наследования (IM). Фактически, маска наследования может ис- пользовать для фильтрации любого из указанных полномочий, исклю- чая полномочия доступа Supervisor. Таким образом, если вы хотите предоставить объекту исключительный доступ к целевому объекту, вам следует отфильтровать все полномочия с помощью маски наследо- вания и присвоить полномочия нужному объекту явным образом. Интересным моментом во всей этой системы защиты является то, что сам список ACL является атрибутом. Это означает, что вы може- те предоставить полномочия, позволяющие объектам изменять ACL. Объекты с такими полномочиями могут изменять ACL и ограничивать доступ к другим объектам. Поэтому предоставлять объекту полномо- чия Write на атрибут ACL нужно осторожно.