DACL-ek és ACL-ek

Ha egy Windows-objektum nem rendelkezik diszkrecionális hozzáférés-vezérlési listával (DACL), a rendszer mindenki számára teljes hozzáférést biztosít. Ha egy objektum rendelkezik DACL-sel, a rendszer csak azt a hozzáférést engedélyezi, amelyet kifejezetten engedélyez a hozzáférés-vezérlési bejegyzések a DACL-ben. Ha a DACL-ben nincsenek hozzáférés-vezérlési rendszerek, a rendszer nem engedélyezi a hozzáférést senkihez. Hasonlóképpen, ha a DACL rendelkezik olyan ACE-ekkel, amelyek korlátozott számú felhasználóhoz vagy csoporthoz engedélyezik a hozzáférést, a rendszer implicit módon tagadja a hozzáférést az ACE-kben nem szereplő összes megbízhatóhoz.

A legtöbb esetben hozzáféréssel engedélyezett ACL-ekkel szabályozhatja az objektumokhoz való hozzáférést; nem kell explicit módon megtagadnia egy objektumhoz való hozzáférést. Ez alól kivételt képez az, ha az ACE engedélyezi a hozzáférést egy csoporthoz, és meg szeretné tagadni a csoport egy tagjához való hozzáférést. Ehhez helyezzen el egy hozzáférés-megtagadású ACE-t a felhasználó számára a DACL-ben a csoport számára engedélyezett ace előtt. Vegye figyelembe, hogy az ACEs sorrendje azért fontos, mert a rendszer sorozatban olvassa be az ACE-ket, amíg a hozzáférés meg nem adódik vagy meg nem tagadható. Először meg kell jelennie a felhasználó hozzáférés-megtagadott ACE-jének; ellenkező esetben, ha a rendszer felolvassa a csoport hozzáférését engedélyező ACE-t, hozzáférést ad a korlátozott felhasználónak.

Az alábbi ábrán egy OLYAN DACL látható, amely tagadja az egy felhasználóhoz való hozzáférést, és két csoportnak ad hozzáférést. Az A csoport tagjai olvasási, írási és végrehajtási hozzáférési jogokat kapnak az A csoporthoz engedélyezett jogosultságok és a mindenki számára engedélyezett jogok összeadásával. A kivétel Andrew, akit a hozzáférés-megtagadási ÁSZ megtagad annak ellenére, hogy tagja a Mindenki csoportnak.