https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Access_Control_ListAccess Control List - Versionsgeschichte2026-05-20T03:35:34ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Access_Control_List&diff=24551&oldid=previmported>Y2kbug: /* {{Anker|POSIX}}Unix und Linux */ "POSIX ACLs" ist seit Beginn eine gängige Schreibweise, zumindest unter Linux2026-03-27T19:48:26Z<p><span class="autocomment">{{Anker|POSIX}}Unix und Linux: </span> "POSIX ACLs" ist seit Beginn eine gängige Schreibweise, zumindest unter Linux</p>
<p><b>Neue Seite</b></p><div>[[Datei:Access Control List of Dokuwiki.jpg|mini|hochkant=1.6|Muster einer ACL]]<br />
Eine '''''{{lang|en|Access Control List}}''''' (kurz '''''{{lang|en|ACL}}''''', [[Amerikanisches Englisch|englisch]] für '''Zugriffssteuerungsliste''', kurz ''ZSL''<ref>Martin Grotegut: ''Windows Vista''. Springer Science+Business Media, [https://books.google.de/books?id=PwMnBAAAQBAJ&pg=PR10 S. 10].</ref>) ist eine [[Software]]-Technik, mit der [[Betriebssystem]]e und [[Anwendungsprogramm]]e Zugriffe auf Daten und Funktionen eingrenzen können. Eine ACL legt fest, in welchem Umfang einzelne [[Benutzer]] und System[[Prozess (Informatik)|prozesse]] Zugriff auf bestimmte Objekte (wie Dienste, [[Datei]]en, [[Windows-Registrierungsdatenbank|Registrier]]-Einträge usw.) haben.<br />
<br />
Im Unterschied zu einfachen [[Zugriffsrecht]]en sind ACLs feiner einstellbar. So können mit ACLs für eine Datei für mehrere Benutzer und mehrere Gruppen unterschiedliche Rechte vergeben werden<ref>{{Internetquelle |url=https://learn.microsoft.com/en-us/windows/win32/secauthz/access-control-lists |titel=Access Control Lists – win32 |werk=Microsoft Learn |datum=2022-09-21 |sprache=en |abruf=2023-01-22}}</ref>, während unter [[Unix-Dateirechte|Unix mit einfachen Zugriffsrechten]] nur die Rechtevergabe für den Besitzer, eine Gruppe und den „Rest der Welt“ möglich ist.<ref>{{Internetquelle |autor=Glen Newell |url=https://www.redhat.com/sysadmin/linux-access-control-lists |titel=An introduction to Linux Access Control Lists (ACLs) |hrsg=Red Hat |datum=2020-02-06 |sprache=en |abruf=2023-01-22}}</ref><br />
<br />
== Multics ==<br />
Bei der Entwicklung von [[Multics]] wurden 1965 erstmals {{lang|en|Access Control Lists}} auf dem Multics-Dateisystem implementiert.<ref name="Multics_ACLs_Elementary_Information_Security">{{Literatur |Autor=Richard E. Smith |Titel=Elementary Information Security |Verlag=Jones & Bartlett Learning |Datum=2013 |ISBN=978-1-4496-4820-6 |Kapitel=4.3 Access Control Lists |Seiten=150 |Fundstelle=Multics ACLs |Sprache=en |Online={{Google Buch |BuchID=WrYRQi0BQDQC |Seite=150}}}} {{" |Sprache=en |Text=The Multics timesharing system was developed by a team including MIT, Bell Laboratories, General Electric, and eventually, Honeywell. The project intended to develop a timesharing system that was so reliable and easy to maintain that it served as a computing utility, much like water, telephone, or electic power systems. ACLs were one of several important security technologies pioneered by Multics. ACLs were first described in 1965 as part of the Multics file system.}}</ref> ACLs wurden notwendig, um Zugriffsrechte per ''{{lang|en|Least Privilige}}'' zu ermöglichen und folgendes Problem zu lösen:<ref>{{Literatur |Autor=Richard E. Smith |Titel=Elementary Information Security |Verlag=Jones & Bartlett Learning, LLC |Datum=2013 |ISBN=978-1-4496-4820-6 |Kapitel=4.3 Access Control Lists |Seiten=149 |Sprache=en |Online={{Google Buch |BuchID=WrYRQi0BQDQC |Seite=149}}}}</ref><br />
# Den Zugriff für die gesamte Benutzer-Gemeinschaft sperren.<br />
# Nur-Lese-Zugriff für eine bestimmte Benutzer-Gruppe gewähren.<br />
# Lese-/Schreib-Zugriff für eine zweite Benutzer-Gruppe ermöglichen.<br />
<br />
Ein konkretes Beispiel von Multics-ACLs:<ref name="Multics_ACLs_Elementary_Information_Security" /><br />
rew Max.Wikipedianer.*<br />
r Backup.SysDaemon.*<br />
r *.Wikipedianer.*<br />
rw *.SysAdmin.*<br />
Benutzer <code>Max</code> aus der Gruppe <code>Wikipedianer</code> ist der Besitzer der spezifischen Datei, er hat Lese-, Schreib- und Ausführungsrechte. Benutzer <code>Backup</code> aus der Gruppe <code>SysDaemon</code> hat nur Leserechte, denn das genügt für den System-Prozess ([[Daemon]]), der im [[Hintergrundprozess|Hintergrund]] wiederkehrende [[Datensicherung]]en erledigt. Zusätzlich haben Mitglieder der Gruppe <code>Wikipedianer</code> ebenfalls Leserechte, während Mitglieder der Gruppe <code>SysAdmin</code> ([[Systemadministrator]]en) zusätzlich auch Schreibrechte besitzen.<br />
<br />
Mit den Standard-[[Unix-Dateirechte]]n ist eine Umsetzung von ''{{lang|en|Least Privilege}}'' nicht möglich. Zwar könnte man dem Benutzer <code>Max</code> und der Gruppe <code>Wikipedianer</code> die nötigen Rechte erteilen, aber nicht gleichzeitig dem Backup-Prozess (Benutzer/Gruppe <code>Backup.SysDaemon</code>) die Nur-Lese-Berechtigung oder der <code>SysAdmin</code>-Gruppe die Lese-/Schreibrechte.<br />
<br />
== {{Anker|POSIX}}Unix und Linux ==<br />
[[Unix]] wurde ab 1969 [[Unix#Geschichte|als Alternative zu Multics]] entwickelt. In der Unix-Welt versteht man unter {{lang|en|Access Control Lists}} bzw. „POSIX ACLs“<ref>{{Internetquelle |autor=Andreas Gruenbacher |url=https://linux.die.net/man/5/acl |titel=acl(5) |werk=Linux man page |hrsg=die.net |datum=2002-03-23 |format=[[Manpage]] |sprache=en |abruf=2026-03-27 |zitat=This manual page describes POSIX Access Control Lists…}}</ref><ref>{{Internetquelle |autor=Mike Peters |url=https://www.linux.com/news/posix-acls-linux/ |titel=POSIX ACLs in Linux |werk=Linux.com |hrsg=[[Linux Foundation]] |datum=2004-08-02 |sprache=en |abruf=2026-03-27}}</ref> eine Erweiterung der klassischen Zugriffssteuerung auf Ebene des [[Unix-Dateirechte|Besitzer-Gruppe-Welt-Modells]]. Auf diese Weise lassen sich Zugriffsrechte spezifisch für einzelne Benutzer zuteilen oder verbieten. Viele [[Unix-Derivat|Unix-Implementierungen]] wie z.&nbsp;B. [[Solaris (Betriebssystem)|Solaris]], [[IRIX]] und [[HP-UX]] führten Anfang bis Mitte der 1990er Jahre Unterstützung für ein sehr ähnliches, als Erweiterung des klassischen Unix-Zugriffsrechtemodells konzipiertes ACL-Modell ein, und es wurde versucht, dieses ACL-System unter [[Portable Operating System Interface|POSIX]]-1003.1e zu standardisieren. Der dazugehörige Standard-Entwurf (Normen-Entwurf) wurde jedoch im Oktober 1997 zurückgezogen.<br />
<br />
Mitte 2000 wurde damit begonnen, POSIX-1003.1e ACLs in [[FreeBSD]] und [[Linux]] zu implementieren. Inzwischen bieten die meisten [[Unixoides System|Unix-artigen Systeme]] native Unterstützung für die zurückgezogenen POSIX-1003.1e-ACLs, darunter [[AIX]], HP-UX, Linux, FreeBSD, [[TrustedBSD]], Solaris, [[Trusted Solaris]] und IRIX.<br />
<br />
Unter Linux unterstützen dabei die Dateisysteme [[Btrfs]], [[Extended filesystem|ext-fs]] ([[ext2]]/[[ext3|3]]/[[ext4|4]]), [[Journaled File System|JFS]], [[XFS (Dateisystem)|XFS]] und [[Reiser File System|ReiserFS]] POSIX-1003.1e ACLs vollständig. Auf der Kommandozeile verwaltet man die ACLs typischerweise mit den Befehlen <kbd>getfacl</kbd> und <kbd>setfacl</kbd>. Mit der [[KDE]]-Version 3.5 steht auch der Dateimanager [[Konqueror]] mit nativer POSIX-1003.1e ACL-Unterstützung zur Verfügung. Für die Desktop-Umgebung [[Gnome]] beherrscht der Dateimanager [[Nautilus (Dateimanager)|Nautilus]] ab Version 2.16 nativ POSIX-1003.1e ACLs. POSIX-1003.1e ACLs werden in Linux statisch vererbt, d.&nbsp;h. die Berechtigungen pflanzen sich in neu angelegte Unterverzeichnisse und Dateien je nach Bedarf fort. Wird die ACL eines übergeordneten Verzeichnisses geändert, hat dies jedoch keinen Einfluss auf die darunterliegende Struktur.<br />
<br />
Mit <nowiki>RFC&nbsp;3010</nowiki> ([[Network File System|NFSv4]])<ref>{{RFC-Internet |RFC=3010 |Titel=NFS version 4 Protocol |Datum=2000-12}}</ref> wurde im Dezember 2000 ein neuer auf dem ACL-System des [[Network File System|NFS]] basierender ACL-Standard etabliert. Solaris, AIX und [[macOS]] unterstützen mittlerweile diesen Standard. Das Dateisystem [[ZFS (Dateisystem)|ZFS]] unterstützt ausschließlich ''NFSv4'' ACLs.<br />
<br />
== Windows ==<br />
Zum Ändern ([[Amerikanisches Englisch|englisch]] ‚change‘ genannt) und Anzeigen der ''ACLs'' wurde ab ''[[Microsoft Windows NT 3.5|Windows NT 3.5]]'' der (von ''[[Cmd.exe|Cmd]]'' unabhängige) Befehl <code>cacls([[.exe]])</code><ref>… die [[Dateinamenserweiterung|Erweiterung]] hier in Klammern, da diese beim Aufruf nicht zwingend angegeben werden muss …</ref> eingeführt.<br />
<br />
Unter [[Microsoft Windows NT 4.0|Windows NT 4.0]] wird jedem Betriebssystemobjekt (Datei, Prozess usw.) ein sogenannter Zugriffskontroll-[[Deskriptor]] zugeordnet, der eine ACL enthalten kann. Ist keine ACL vorhanden, so erhält jeder Benutzer Vollzugriff auf das Objekt. Ist die ACL vorhanden, aber leer, so erhält kein Benutzer Zugriff. Eine ACL besteht aus einem Header und maximal 1820 Access Control Entries (ACE).<ref>[https://support.microsoft.com/kb/166348/en-us ''Maximum Number of ACEs in an ACL''.] in der Microsoft Knowledge Database, 20. September 2003.</ref> Ein ACE enthält jeweils die Information, ob einem Benutzer oder einer [[Benutzergruppe]] eine bestimmte Zugriffsart erlaubt (englisch ''{{lang|en|allow}}'') oder verweigert (''{{lang|en|deny}}'') werden soll. Der Windows-Explorer schreibt die Einträge, die Zugriff verweigern, an den Anfang der ACL. Fordert nun ein Benutzer Zugriff auf ein Objekt an, so geht der Windows Object Manager die Liste von Anfang an durch. Sobald Einträge für alle angeforderten Rechte gefunden wurden, erlaubt oder verweigert der Object Manager entsprechend den Zugriff. Trifft der Object Manager beim Durchgehen der Liste auf einen Eintrag, der den Zugriff verweigert, wird die Suche abgebrochen und der Zugriff auf das Objekt verweigert.<br />
<br />
Bei Windows NT bis Version 4.0 werden ACL statisch vererbt, ab [[Microsoft Windows 2000|Windows 2000]] geschieht dies auf Wunsch dynamisch. Wird die ACL eines übergeordneten Verzeichnisses geändert, so hat dies je nach gewählter Vererbung Auswirkungen auf die darunterliegende [[Verzeichnisstruktur]].<br />
<br />
Mit ''[[Microsoft Windows Server 2003|Windows Server 2003]]'' wurde der erste <code>cacls</code>-Befehl durch dessen Nachfolger <code>icacls(.exe)</code> ergänzt und damit auch der vorherige Befehl als „veraltet“ bezeichnet.<ref>[https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/icacls ''icacls''] – bei ''Microsoft Docs'', am 21. August 2018; dort u.&nbsp;a. mit dem Hinweis: „Dieser Befehl ersetzt den veralteten cacls-Befehl.“; das ist auch spätestens (und so wenigstens) mit (einem deutschsprachigen) ''[[Microsoft Windows 7|Windows&nbsp;7]]'' nachprüfbar, über die eigene Hilfe des <code>cacls</code>-Befehls, welche beispielsweise ausgegeben wird, wenn allein der Befehl (also ohne Übergabewerte) aufgerufen wird; auf einem englischsprachigen Windows wird an der betreffenden Stelle wahrscheinlich deren Wort ‚''deprecated''‘ genannt</ref> Zudem wurde zuvor, ab ''[[Microsoft Windows 2000|Windows 2000]]'', jedoch allein (wahlweise) in den dort sogenannten ''Support Tools'' und im ''[[Windows Resource Kit|Resource Kit]]'' enthaltend, der (bisher allein englischsprachige) <code>xcacls</code>-Befehl ergänzt, welcher auch das Ändern des Besitzers (einer Datei oder eines Ordners) beherrscht.<ref>[https://www.windows-tweaks.info/windows-2000/windows-2000-wie-die-geheimen-support-tools-ihr-leben-erleichtern/ Windows 2000 – Wie die geheimen Support Tools Ihr Leben erleichtern] – ''Windows Tweaks'', am 29. November 2013; dort einleitend mit „Seit Windows 2000 finden sich die so genannten Support Tools auf der Original-CD unter Support\Tools.“ und im Folgenden u.&nbsp;a. auch mit ‚xcacls.exe‘</ref><ref>[https://docs.microsoft.com/de-de/previous-versions/windows/it-pro/windows-server-2003/cc758217(v=ws.10) ''Xcacls Overview''.] Microsoft Docs, 8. Oktober 2009 (englisch).</ref><ref>[https://ss64.com/nt/xcacls.html ''XCACLS.exe'' (''NT 4 Resource Kit'', ''Windows XP and 2003'').] ss64.com (englisch); abgerufen am 16. November 2020. Dort u.&nbsp;a. mit “Take Ownership (Special access)” (wörtlich<!-- mit dem Google-Übersetzer -->) übersetzt also: „Eigentum übernehmen (Sonderzugang)“</ref><ref>[https://blog.cadena-it.com/mcsa-mcse/how-to-use-xcacls-exe-to-modify-ntfs-permissions/ ''How to use Xcacls.exe to modify NTFS permissions''.] ''it’s notes'', blog.cadena-it.com, 22. August 2014 (englisch). Dort u.&nbsp;a. mit {{" |Sprache=en |Text=The Xcacls.exe utility is included in the Windows 2000 Resource Kit. The Xcacls.exe utility is also included in the Windows Server 2003 Support Tools.}} (übersetzt: „Das Dienstprogramm Xcacls.exe ist im Windows 2000 Resource Kit enthalten. [Es] ist auch in den Windows Server 2003-Supporttools enthalten.“)</ref><br />
<br />
== Andere Systeme ==<br />
* [[macOS]] unterstützt ACLs ab [[Mac OS&nbsp;X Tiger]] (10.4, 2005).<br />
* Das Betriebssystem [[OpenVMS]] von [[Hewlett-Packard|HP]] (ursprünglich [[Digital Equipment Corporation|DEC]]) unterstützt auch ACLs; deren Einträge heißen ACE.<br />
* Bei [[Cisco Systems|Cisco]]s Betriebssystem [[Internetwork Operating System|IOS]] bezeichnen ACLs unter anderem [[Paketfilter]]einstellungen.<br />
* Bei einer Reihe von [[Webanwendung]]en werden ACLs benutzt, um den Zugriff auf einzelne Seiten oder Bereiche auf bestimmte Benutzer oder Benutzergruppen einzuschränken, so bei einigen [[Wiki]]s (etwa [[DokuWiki]]) und [[Content-Management-System|CMS]] (etwa [[eZ Publish]]).<br />
* [[SAP]] setzt bei vielen seiner Anwendungen ebenfalls ACLs zur detaillierten Benutzerberechtigung ein, z.&nbsp;B. in der Collaborations-Software cFolders (siehe [[cProjects]]) oder dem SAP Easy Document Management.<br />
* Bei einem [[Lightweight Directory Access Protocol|LDAP]]-Verzeichnis kann je nach Hersteller eine ACL den Zugriff auf ''Attribute'' oder ''(LDAP-)Container'' zulassen oder verweigern.<br />
<br />
== Siehe auch ==<br />
* [[Port Based Network Access Control]]<br />
* [[Mandatory Access Control]]<br />
* [[Role Based Access Control]]<br />
* [[Discretionary Access Control]]<br />
* [[Informationssicherheit]]<br />
<br />
== Weblinks ==<br />
* [https://aclbit.sourceforge.net/ ACLbit – ACL Backup and Inspect Tool for Linux.] sourceforge.net<br />
* [https://aplawrence.com/MacOSX/acl.html Zur Benutzung von ACLs unter OS X.] aplawrence.com (englisch).<br />
* [https://wiki.ubuntuusers.de/ACL?rev=723702 ACL.] ubuntuusers.de<br />
* [https://www.knilse.de/download/acl.html ACL unter Linux.] knilse.de<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Zugriffskontrolle]]</div>imported>Y2kbug