Ich denke, der LDAP-Anspruch ist falsch. Mir ist kein spezifisches Protokoll für die Autorisierung bekannt, es funktioniert folgendermaßen:
Die Active Directory-Benutzerberechtigung schützt Ressourcen vor unberechtigtem Zugriff. Nach der Benutzerauthentifizierung wird der tatsächlich gewährte Zugriffstyp davon bestimmt, welche Benutzerrechte dem Benutzer zugewiesen werden und welche Berechtigungen den Objekten zugeordnet sind, auf die der Benutzer zugreifen möchte. Jedem Objekt sind Zugriffssteuerungslisten zugeordnet.
DACL - Die Discretionary Access Control List (DACL) gibt eine Liste von Benutzerkonten an, Gruppen, denen der Zugriff auf ein bestimmtes Objekt gestattet oder verweigert wird.
SACL - Die System Access Control List (SACL) definiert Vorgänge wie Lesen, Schreiben oder Löschen, die für einen Benutzer oder eine Gruppe geprüft werden sollen.
Jede Liste besteht aus Zugriffssteuerungseinträgen, in denen die Berechtigungen aufgeführt sind, die für einen Benutzer oder eine Gruppe zulässig oder abgelehnt sind. Bei jeder Anmeldung eines Benutzers wird ein Zugriffstoken für den Benutzer erstellt. Das Zugriffstoken besteht aus Einzel-SID, Gruppen-SID und Benutzerrechten.
Wenn ein Benutzer einen Zugriff auf ein bestimmtes Objekt anfordert, werden die einzelne SID und die Gruppen-SID im Zugriffstoken mit den DACL-Einträgen verglichen, um festzustellen, ob dem Benutzer der Zugriff explizit verweigert wird. Dann wird geprüft, ob der angeforderte Zugriff ausdrücklich erlaubt werden kann. Diese Schritte werden wiederholt, bis ein Zugriff auf Kein Zugriff gefunden wurde oder ausreichend Informationen gesammelt wurden, um Zugriff auf die Ressource zu gewähren.