次の方法で共有

DACL と ACE

  • [アーティクル]

Windows オブジェクトに の随意アクセス制御リスト (DACL) がない場合、システムは、すべてのユーザーがそれに対するフル アクセスを許可します。 オブジェクトに DACL がある場合、システムは DACL 内の アクセス制御エントリ (ACE) によって明示的に許可されているアクセスのみを許可します。 DACL に ACE がない場合、システムはだれにもアクセスを許可しません。 同様に、DACL に限られた一連のユーザーまたはグループへのアクセスを許可する ACE がある場合、システムは ACE に含まれていないすべてのトラスティへのアクセスを暗黙的に拒否します。

ほとんどの場合、アクセス許可 ACE を使用してオブジェクトへのアクセスを制御できます。オブジェクトへのアクセスを明示的に拒否する必要はありません。 例外は、ACE がグループへのアクセスを許可し、グループのメンバーへのアクセスを拒否する場合です。 これを行うには、DACL 内のユーザーのアクセス拒否 ACE を、グループのアクセス許可 ACE の前に配置します。 アクセスが許可または拒否されるまで、システムは ACE を順番に読み取るため、ACE 順序が重要であることに注意してください。 ユーザーのアクセス拒否 ACE が最初に表示される必要があります。それ以外の場合、システムはグループのアクセス許可 ACE を読み取ると、制限されたユーザーへのアクセスを許可します。

次の図は、1 人のユーザーへのアクセスを拒否し、2 つのグループへのアクセスを許可する DACL を示しています。 グループ A のメンバーは、グループ A に許可されている権限と、すべてのユーザーに許可されている権限を蓄積することで、読み取り、書き込み、実行のアクセス権を取得します。 例外は Andrew で、Everyone グループのメンバーであるにもかかわらず、アクセス拒否 ACE によってアクセスが拒否されます。

グループ メンバーシップの に基づいて異なるアクセス権を付与する dacl