Listes de contrôle d’accès et DACL

Si un objet Windows n’a pas de liste de contrôle d’accès discrétionnaire (DACL), le système autorise tout le monde à y accéder. Si un objet a une liste de contrôle d’accès, le système autorise uniquement l’accès explicitement autorisé par les entrées de contrôle d’accès (ACL) dans la liste de contrôle d’accès. S’il n’y a pas d’ACL dans la liste de contrôle d’accès, le système n’autorise pas l’accès à n’importe qui. De même, si une liste de contrôle d’accès dispose d’ACL qui autorise l’accès à un ensemble limité d’utilisateurs ou de groupes, le système refuse implicitement l’accès à tous les administrateurs non inclus dans les ACL.

Dans la plupart des cas, vous pouvez contrôler l’accès à un objet à l’aide d’ACL autorisées par accès ; vous n’avez pas besoin de refuser explicitement l’accès à un objet. L’exception est lorsqu’un ACE autorise l’accès à un groupe et que vous souhaitez refuser l’accès à un membre du groupe. Pour ce faire, placez un ACE refusé par accès pour l’utilisateur dans la liste de contrôle d’accès avant l’ACE autorisé par accès pour le groupe. Notez que l’ordre de des acEs est important, car le système lit les AE dans la séquence jusqu’à ce que l’accès soit accordé ou refusé. L’ACE d’accès refusé par l’utilisateur doit apparaître en premier ; sinon, lorsque le système lit l’accès autorisé du groupe ACE, il accorde l’accès à l’utilisateur restreint.

L’illustration suivante montre une liste DACL qui refuse l’accès à un utilisateur et accorde l’accès à deux groupes. Les membres du groupe A obtiennent des droits d’accès en lecture, en écriture et en exécutant les droits d’accès autorisés au groupe A et aux droits autorisés pour tout le monde. L’exception est Andrew, qui a refusé l’accès par l’ACE refusé par l’accès refusé, malgré l’appartenance au groupe Tout le monde.