
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Dochelp in Bcc</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Hello Douglas, this e-mail thread will be used to track the investigation for the following issue</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>ISSUE:</b></div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

I have questions about the definition of the canonical ACL form, to do</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

with the status of callback ACEs and the ordering of inherited ACEs.</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

MS-DTYP 2.4.5 says:</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

> An ACL is said to be in canonical form if:</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

></div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

>  * All explicit ACEs are placed before inherited ACEs.</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

></div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

>  * Within the explicit ACEs, deny ACEs come before grant ACEs.</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

></div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

>  * Deny ACEs on the object come before deny ACEs on a child or property.</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

></div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

>  * Grant ACEs on the object come before grant ACEs on a child or property.</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

></div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

>  * Inherited ACEs are placed in the order in which they were inherited.</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>I think </b>the third and fourth clauses are talking about the OBJECT ACE</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

types, saying that e.g. ACCESS_ALLOWED_OBJECT_ACE_TYPE comes after</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

ACCESS_ALLOWED_ACE_TYPE. <b>But is it also talking about ACEs with the</b></div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<b>INHERIT_ONLY_ACE flag? Or some other mechanism?</b></div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Logically it would seem that callback ACEs should be placed is a similar</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

position to the OBJECT ones.</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<p style="margin-top: 0px; margin-bottom: 0px;"><span style="font-family: "Segoe UI", "Segoe UI Web (West European)", "Segoe UI", -apple-system, BlinkMacSystemFont, Roboto, "Helvetica Neue", sans-serif; font-size: 15px; color: black;">Regards,</span></p>

<p style="margin-top: 0px; margin-bottom: 0px;"><span style="font-family: "Segoe UI", "Segoe UI Web (West European)", "Segoe UI", -apple-system, BlinkMacSystemFont, Roboto, "Helvetica Neue", sans-serif; font-size: 15px; color: black;">Sreekanth Nadendla</span></p>

<p style="margin-top: 0px; margin-bottom: 0px;"><span style="font-family: "Segoe UI", "Segoe UI Web (West European)", "Segoe UI", -apple-system, BlinkMacSystemFont, Roboto, "Helvetica Neue", sans-serif; font-size: 15px; color: black;">Microsoft Windows Open

 Specifications</span></p>

</div>

<div id="appendonsend"></div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<hr style="display: inline-block; width: 98%;">

<div id="divRplyFwdMsg" dir="ltr" class="elementToProof"><span style="font-family: Calibri, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);"><b>From:</b> Douglas Bagnall <douglas.bagnall@catalyst.net.nz><br>

</span></div>

<div style="direction: ltr; font-family: Calibri, sans-serif; font-size: 11pt; color: rgb(0, 0, 0);">

<b>Sent:</b> Tuesday, May 7, 2024 8:11 PM<br>

<b>To:</b> Interoperability Documentation Help <dochelp@microsoft.com>; cifs-protocol@lists.samba.org <cifs-protocol@lists.samba.org><br>

<b>Subject:</b> [EXTERNAL] [MS-DTYP] canonical ACL sort order</div>

<div style="direction: ltr;"> </div>

<div style="font-size: 11pt;">hi Dochelp.<br>

<br>

I have questions about the definition of the canonical ACL form, to do<br>

with the status of callback ACEs and the ordering of inherited ACEs.<br>

<br>

MS-DTYP 2.4.5 says:<br>

<br>

> An ACL is said to be in canonical form if:<br>

><br>

>  * All explicit ACEs are placed before inherited ACEs.<br>

><br>

>  * Within the explicit ACEs, deny ACEs come before grant ACEs.<br>

><br>

>  * Deny ACEs on the object come before deny ACEs on a child or property.<br>

><br>

>  * Grant ACEs on the object come before grant ACEs on a child or property.<br>

><br>

>  * Inherited ACEs are placed in the order in which they were inherited.<br>

<br>

I think the third and fourth clauses are talking about the OBJECT ACE<br>

types, saying that e.g. ACCESS_ALLOWED_OBJECT_ACE_TYPE comes after<br>

ACCESS_ALLOWED_ACE_TYPE. But is it also talking about ACEs with the<br>

INHERIT_ONLY_ACE flag? Or some other mechanism?<br>

<br>

Logically it would seem that callback ACEs should be placed is a similar<br>

position to the OBJECT ones.<br>

<br>

Relevantly, MS-ADTS 6.1.3.1 says:<br>

<br>

> ACE ordering rules apply only to ACLs in canonical form (see [MS-DTYP]<br>

> section 2.4.5), and only when the forest functional level is<br>

> DS_BEHAVIOR_WIN2003 or above. The following rules are applied, in the<br>

> following order:<br>

><br>

> 1. Explicit ACEs come before inherited ACEs.<br>

><br>

> 2. Deny ACEs come before Allow ACEs.<br>

><br>

> 3. Regular ACEs come before object ACEs.<br>

><br>

> 4. Within each group, the ACEs are ordered lexicographically (that is, based on<br>

>    octet string comparison rules).<br>

><br>

> Rules 3 and 4 above are enforced only when the forest functional level is<br>

> DS_BEHAVIOR_WIN2003 or above. Otherwise, the order of ACEs within each group<br>

> defined by rules 1 and 2 is retained as supplied by the user or replication<br>

> partner.<br>

<br>

Point 4 (sorting "lexicographically" via binary comparison), would sort<br>

the ACE structures primarily by ACE type, followed by flags, followed by<br>

the type specific members (often the SID is next).<br>

<br>

That would put the DENY ACEs in this order:<br>

<br>

  ACCESS_DENIED_ACE_TYPE (1)<br>

  ACCESS_DENIED_OBJECT_ACE_TYPE (6)<br>

  ACCESS_DENIED_CALLBACK_ACE_TYPE (10)<br>

  ACCESS_DENIED_CALLBACK_OBJECT_ACE_TYPE (12)<br>

<br>

and similarly for the ALLOW ACEs. But by rule 3, we already have put<br>

"regular" ACEs before object ACEs, so if callback ACEs count as regular,<br>

we'd end up with<br>

<br>

  ACCESS_DENIED_ACE_TYPE (1)<br>

  ACCESS_DENIED_CALLBACK_ACE_TYPE (10)<br>

  ACCESS_DENIED_OBJECT_ACE_TYPE (6)<br>

  ACCESS_DENIED_CALLBACK_OBJECT_ACE_TYPE (12)<br>

<br>

Are one of these orderings considered to be part of the canonical form?<br>

<br>

Either would be consistent with my understanding of MS-DTYP 2.4.5 with<br>

respect to plain and object ACEs.<br>

<br>

(As far as I can tell, the ordering within a block of DENY or ALLOW ACEs<br>

doesn't matter with respect to the eventual outcome, but putting the<br>

fancy kinds at the back is likely to be more efficient as it might avoid<br>

the extra work they entail).<br>

<br>

Also I note the MS-DTYP definition says little about the ordering of<br>

DENY and ALLOW ACEs in the inherited sections. In places where canonical<br>

ACLs are constructed, such as<br>

<br>

<a href="https://learn.microsoft.com/en-us/windows/win32/SecAuthZ/order-of-aces-in-a-dacl" id="OWA1047650e-7e23-1402-3fb8-7f4e89dc4993" class="OWAAutoLink" data-auth="NotApplicable" data-loopstyle="linkonly">https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fen-us%2Fwindows%2Fwin32%2FSecAuthZ%2Forder-of-aces-in-a-dacl&data=05%7C02%7Csrenaden%40microsoft.com%7Cfe0af73840584248d61808dc6ef382d9%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638507239378695121%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=CBrpNXxW1LpEgR2JCm5L6R0YLhld1DYAkYC8dFX43LE%3D&reserved=0</a><br>

<br>

> The following steps describe the preferred order:<br>

><br>

> 1. All explicit ACEs are placed in a group before any inherited ACEs.<br>

><br>

> 2. Within the group of explicit ACEs, access-denied ACEs are placed before<br>

>    access-allowed ACEs.<br>

><br>

> 3. Inherited ACEs are placed in the order in which they are inherited. ACEs<br>

>    inherited from the child object's parent come first, then ACEs inherited from<br>

>    the grandparent, and so on up the tree of objects.<br>

><br>

> 4. For each level of inherited ACEs, access-denied ACEs are placed before<br>

>    access-allowed ACEs.<br>

<br>

the inherited ACEs are placed in stripes like of DENY and ALLOW ACEs,<br>

like tree rings. This is not part of the definition in MS-DTYP, which<br>

only says "inherited ACEs are placed in the order in which they were<br>

inherited". Should it be part of MS-DTYP 2.4.5?<br>

<br>

Of course, when looking at a DACL in isolation, there is no way of<br>

knowing where the inherited ACEs were inherited from, so the question is<br>

kind of moot. Maybe that is why MS-DTYP doesn't want to say much, and<br>

why the MS-ADTS algorithm just flattens the inheritance, potentially<br>

changing the outcome (by bringing a grandparent DENY in front of a<br>

parent ALLOW).<br>

<br>

I'll note there are a wide range of formulations of canonicity, from<br>

Microsoft and elsewhere, not all of which can be compatible. For<br>

example,<br>

<a href="https://learn.microsoft.com/en-us/dotnet/api/system.security.accesscontrol.commonacl?view=net-8.0" id="OWAe5f18cb9-47b3-09e8-9bd8-29eb94bbc35c" class="OWAAutoLink" data-auth="NotApplicable" data-loopstyle="linkonly">https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Flearn.microsoft.com%2Fen-us%2Fdotnet%2Fapi%2Fsystem.security.accesscontrol.commonacl%3Fview%3Dnet-8.0&data=05%7C02%7Csrenaden%40microsoft.com%7Cfe0af73840584248d61808dc6ef382d9%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C638507239378701549%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C0%7C%7C%7C&sdata=pfebzEmURR5OTZQD%2B1JkZVW1KzYXj%2BmJO%2BVe%2Fvt3Rzc%3D&reserved=0</a><br>

would not sort the ACEs lexicographically, but by SID.<br>

<br>

Do SACLs have a canonical ordering, beyond having explicit ACEs first?<br>

<br>

cheers,<br>

Douglas</div>

</body>

</html>