ACL y ACL

Si un objeto de Windows no tiene un lista de control de acceso discrecional (DACL), el sistema permite que todos los usuarios tengan acceso total a él. Si un objeto tiene una DACL, el sistema solo permite el acceso que permite explícitamente la entradas de control de acceso (ACE) en la DACL. Si no hay ACL en la DACL, el sistema no permite el acceso a nadie. Del mismo modo, si una DACL tiene ACL que permiten el acceso a un conjunto limitado de usuarios o grupos, el sistema deniega implícitamente el acceso a todos los administradores de confianza no incluidos en los ACL.

En la mayoría de los casos, puede controlar el acceso a un objeto mediante los ACE permitidos para el acceso; No es necesario denegar explícitamente el acceso a un objeto . La excepción es cuando una ACE permite el acceso a un grupo y desea denegar el acceso a un miembro del grupo. Para ello, coloque una ACE de acceso denegada para el usuario en la DACL antes de la ACE permitida por el acceso para el grupo. Tenga en cuenta que el orden de los ACE es importante porque el sistema lee los ACE en secuencia hasta que se concede o deniega el acceso. La ACE de acceso denegada por el usuario debe aparecer primero; De lo contrario, cuando el sistema lee la ACE permitida para el acceso del grupo, concederá acceso al usuario restringido.

En la ilustración siguiente se muestra una DACL que deniega el acceso a un usuario y concede acceso a dos grupos. Los miembros del grupo A obtienen derechos de acceso de lectura, escritura y ejecución acumulando los derechos permitidos para agrupar los derechos A y los derechos permitidos para todos. La excepción es Andrew, a quien se le deniega el acceso por la ACE de acceso denegado a pesar de ser miembro del Grupo Todos.