DACL dan ACL

Jika objek Windows tidak memiliki daftar kontrol akses diskresi (DACL), sistem mengizinkan semua orang mengaksesnya secara penuh. Jika objek memiliki DACL, sistem hanya mengizinkan akses yang secara eksplisit diizinkan oleh entri kontrol akses (ACE) di DACL. Jika tidak ada ACE di DACL, sistem tidak mengizinkan akses ke siapa pun. Demikian pula, jika DACL memiliki ACE yang memungkinkan akses ke sekumpulan pengguna atau grup terbatas, sistem secara implisit menolak akses ke semua kepercayaan yang tidak termasuk dalam ACE.

Dalam kebanyakan kasus, Anda dapat mengontrol akses ke objek dengan menggunakan ACE yang diizinkan akses; Anda tidak perlu secara eksplisit menolak akses ke objek. Pengecualiannya adalah ketika ACE mengizinkan akses ke grup dan Anda ingin menolak akses ke anggota grup. Untuk melakukan ini, tempatkan ACE yang ditolak akses untuk pengguna di DACL sebelum ACE yang diizinkan akses untuk grup. Perhatikan bahwa urutan ACE penting karena sistem membaca ACE secara berurutan sampai akses diberikan atau ditolak. ACE yang ditolak akses pengguna harus muncul terlebih dahulu; jika tidak, ketika sistem membaca akses grup yang diizinkan ACE, sistem akan memberikan akses ke pengguna terbatas.

Ilustrasi berikut menunjukkan DACL yang menolak akses ke satu pengguna dan memberikan akses ke dua grup. Anggota Grup A mendapatkan hak akses Baca, Tulis, dan Jalankan dengan mengumpulkan hak yang diizinkan untuk Grup A dan hak yang diizinkan untuk Semua Orang. Pengecualiannya adalah Andrew, yang ditolak aksesnya oleh ACE yang ditolak aksesnya meskipun menjadi anggota Grup Semua Orang.