DACLs und ACEs

Wenn ein Windows-Objekt nicht über eine diskretionäre Zugriffssteuerungsliste (DACL) verfügt, ermöglicht das System allen Vollzugriff darauf. Wenn ein Objekt über eine DACL verfügt, lässt das System nur den Zugriff zu, der explizit von den Zugriffssteuerungseinträgen (ACEs) in der DACL zulässig ist. Wenn keine ACEs in der DACL vorhanden sind, lässt das System keinen Zugriff auf andere Benutzer zu. Wenn eine DACL ÜBER ACEs verfügt, die den Zugriff auf eine begrenzte Gruppe von Benutzern oder Gruppen ermöglichen, verweigert das System implizit den Zugriff auf alle Trustees, die nicht in den ACEs enthalten sind.

In den meisten Fällen können Sie den Zugriff auf ein Objekt mithilfe von zugriffsgeschützten ACEs steuern. Sie müssen keinen expliziten Zugriff auf ein Objekt verweigern. Die Ausnahme ist, wenn eine ACE den Zugriff auf eine Gruppe zulässt und Sie den Zugriff auf ein Mitglied der Gruppe verweigern möchten. Platzieren Sie dazu eine zugriffsgewehrte ACE für den Benutzer in der DACL vor der zugriffsgeschützten ACE für die Gruppe. Beachten Sie, dass die Reihenfolge der ACEs wichtig ist, da das System die ACEs nacheinander liest, bis der Zugriff gewährt oder verweigert wird. Die Zugriffsverweigerungs-ACE des Benutzers muss zuerst angezeigt werden. andernfalls gewährt das System, wenn das System die zugriffsgeschützte ACE der Gruppe liest, zugriff auf den eingeschränkten Benutzer.

Die folgende Abbildung zeigt eine DACL, die den Zugriff auf einen Benutzer verweigert und den Zugriff auf zwei Gruppen gewährt. Die Mitglieder von Group A erhalten Lese-, Schreib- und Ausführungsberechtigungen, indem sie die Rechte sammeln, die Gruppen A und Die Berechtigungen für "Jeder" erlaubt haben. Die Ausnahme ist Andrew, der den Zugriff durch die Zugriffsverweigerung der ACE verweigert, obwohl sie Mitglied der Gruppe "Jeder" ist.