Seznamy DAC a ACL

Pokud objekt Windows nemá volitelný seznam řízení přístupu (DACL), systém k němu umožňuje úplný přístup všem. Pokud objekt obsahuje seznam DACL, povolí systém pouze přístup, který explicitně povoluje položky řízení přístupu (ACL) v seznamu DACL. Pokud nejsou v seznamu DACL žádné seznamy řízení přístupu, systém nepovolí přístup k nikomu. Podobně platí, že pokud seznam DACL obsahuje seznamy ACL, které umožňují přístup k omezené sadě uživatelů nebo skupin, systém implicitně odepře přístup ke všem správcům, kteří nejsou zahrnuti do ACL.

Ve většiněpřípadůch není nutné explicitně odepřít přístup k objektu. Výjimkou je, když ACE umožňuje přístup ke skupině a chcete odepřít přístup k členu skupiny. Uděláte to tak, že před seznamem ACE s povoleným přístupem pro skupinu umístíte ACE uživatele do seznamu DACL. Všimněte si, že pořadí řízení přístupu je důležité, protože systém přečte řízení přístupu v posloupnosti, dokud nebude udělen nebo odepřen přístup. Nejprve se musí zobrazit ACE odepření přístupu uživatele; v opačném případě, když systém přečte přístup skupiny povolený ACE, udělí přístup omezenému uživateli.

Následující obrázek ukazuje seznam DACL, který odepře přístup k jednomu uživateli a udělí přístup ke dvěma skupinám. Členové skupiny A získají přístupová práva ke čtení, zápisu a provádění přístupových práv tím, že nashromaždují práva povolená skupině A a oprávnění všem. Výjimkou je Andrew, který je odepřen přístup odepřený ACE, i když je členem skupiny Všichni.