DACL's en ACL's

Als een Windows-object geen discretionaire toegangsbeheerlijst (DACL) heeft, heeft het systeem iedereen volledige toegang tot het object. Als een object een DACL heeft, staat het systeem alleen de toegang toe die expliciet is toegestaan door de vermeldingen voor toegangsbeheer (ACL's) in de DACL. Als er geen ACL's in de DACL staan, staat het systeem geen toegang tot iedereen toe. Als een DACL ACL toegang heeft tot een beperkt aantal gebruikers of groepen, weigert het systeem impliciet de toegang tot alle beheerders die niet zijn opgenomen in de ACL's.

In de meeste gevallen kunt u de toegang tot een object beheren met behulp van toegangsbeheerlijsten; u hoeft de toegang tot een object niet expliciet te weigeren. De uitzondering is wanneer een ACE toegang tot een groep toestaat en u de toegang tot een lid van de groep wilt weigeren. Om dit te doen, plaatst u een toegang geweigerde ACE voor de gebruiker in de DACL vóór de toegangstoegestaan ACE voor de groep. Houd er rekening mee dat de volgorde van de ACL's belangrijk is omdat het systeem de ACL's in volgorde leest totdat de toegang is verleend of geweigerd. De toegang geweigerde ACE van de gebruiker moet eerst worden weergegeven; als het systeem de toegestane ACE-toegang leest, verleent het systeem toegang tot de beperkte gebruiker.

In de volgende afbeelding ziet u een DACL die de toegang tot één gebruiker weigert en toegang verleent tot twee groepen. De leden van groep A krijgen lees-, schrijf- en uitvoertoegangsrechten door de rechten te verzamelen die zijn toegestaan voor Groep A en rechten die aan Iedereen zijn toegestaan. De uitzondering is Andrew, die toegang wordt geweigerd door de toegang geweigerd ACE ondanks dat hij lid is van de groep Iedereen.