DACLs e ACL

Se un oggetto Windows non dispone di un elenco di controllo di accesso discrezionale (DACL), il sistema consente a tutti di accedervi completamente. Se un oggetto ha un DACL, il sistema consente solo l'accesso consentito in modo esplicito dalle voci di controllo di accesso (ACL) nell'elenco di controllo di accesso. Se non sono presenti ca nell'elenco di controllo di accesso, il sistema non consente l'accesso a nessuno. Analogamente, se un daCL dispone di ACL che consentono l'accesso a un set limitato di utenti o gruppi, il sistema nega implicitamente l'accesso a tutti i trustee non inclusi negli ACL.

Nella maggior parte dei casi, è possibile controllare l'accesso a un oggetto usando gli ACL consentiti dall'accesso; non è necessario negare in modo esplicito l'accesso a un oggetto . L'eccezione è quando un ace consente l'accesso a un gruppo e si vuole negare l'accesso a un membro del gruppo. A tale scopo, inserire un ace di accesso negato per l'utente nell'elenco di controllo di accesso prima dell'ace consentito per l'accesso per il gruppo. Si noti che l'ordine degli ACL è importante perché il sistema legge gli ACL in sequenza fino a quando non viene concesso o negato l'accesso. L'ace di accesso negato dell'utente deve essere visualizzato per primo; in caso contrario, quando il sistema legge l'accesso consentito al gruppo ACE, concederà l'accesso all'utente con restrizioni.

La figura seguente mostra un DACL che nega l'accesso a un utente e concede l'accesso a due gruppi. I membri del gruppo A ottengono i diritti di accesso lettura, scrittura ed esecuzione accumulando i diritti consentiti al gruppo A e ai diritti consentiti a Tutti. L'eccezione è Andrew, che ha negato l'accesso da parte dell'ACE di accesso, nonostante sia membro del gruppo Everyone.