Pořadí řízení přístupu v seznamu DACL

Když se proces pokusí získat přístup k zabezpečitelnému objektu, systém provede kroky položky řízení přístupu (ACL) objektu volitelného seznamu řízení přístupu (DACL), dokud nenajde seznamy řízení přístupu, které povolují nebo zakazují požadovaný přístup. Přístupová práva, která daCL umožňuje uživateli, se můžou lišit v závislosti na pořadí řízení přístupu v seznamu DACL. V důsledku toho operační systém Windows XP definuje upřednostňované pořadí pro acEs v seznamu DACL zabezpečitelného objektu. Upřednostňované pořadí poskytuje jednoduchou architekturu, která zajišťuje, že ACE odepře přístup skutečně odepře. Další informace o algoritmu systému pro kontrolu přístupu naleznete v tématu Jak daCLs řídí přístup k objektu.

V systémech Windows Server 2003 a Windows XP je správné pořadí řízení přístupu ke sadě ACL složité zavedením objektů a automatické dědičnosti.

Upřednostňované pořadí popisuje následující kroky:

1. Všechny explicitní seznamy řízení přístupu jsou umístěny ve skupině před zděděnými skupinami řízení přístupu.
2. Ve skupině explicitních řízení přístupu jsou přístupové skupiny řízení přístupu umístěny před povolenými přístupy ACL.
3. Zděděné seznamy ACL jsou umístěny v pořadí, ve kterém jsou zděděné. Seznamy ACL zděděné z nadřazeného objektu podřízeného objektu pocházejí jako první, potom jsou zděděné z grandparentu atd. strom objektů.
4. Pro každou úroveň zděděných ACL se před povolenými přístupy ACL umístí přístupové skupiny řízení přístupu.

V seznamu ACL se samozřejmě nevyžadují všechny typy ACE.

Funkce, jako jsou AddAccessAllowedAceEx a AddAccessAllowedObjectAce přidat ACE na konec seznamu ACL. Je odpovědností volajícího zajistit, aby byly aces přidány ve správném pořadí.