Listy kontroli dostępu i listy ACL

Jeśli obiekt systemu Windows nie ma uznaniowej listy kontroli dostępu (DACL), system zezwala wszystkim na pełny dostęp do niego. Jeśli obiekt ma listę DACL, system zezwala tylko na dostęp, który jest jawnie dozwolony przez wpisy kontroli dostępu (ACL) w daCL. Jeśli na liście DACL nie ma list ACL, system nie zezwala na dostęp do nikogo. Podobnie, jeśli lista DACL ma listy ACL, które zezwalają na dostęp do ograniczonego zestawu użytkowników lub grup, system niejawnie odmawia dostępu do wszystkich zaufanych osób, które nie są uwzględnione w listach KONTROLI dostępu.

W większości przypadków można kontrolować dostęp do obiektu przy użyciu dozwolonych kontroli dostępu kontrolerów dostępu; Nie trzeba jawnie odmawiać dostępu do obiektu. Wyjątek występuje, gdy usługa ACE zezwala na dostęp do grupy i chcesz odmówić dostępu do członka grupy. W tym celu umieść ace dostępu dla użytkownika na liście DACL przed dostępem dozwolonyM ACE dla grupy. Należy pamiętać, że kolejność ACEs jest ważna, ponieważ system odczytuje sekwencji ACL do momentu udzielenia lub odmowy dostępu. Najpierw musi zostać wyświetlona odmowa dostępu przez użytkownika ACE; w przeciwnym razie, gdy system odczytuje dostęp grupy dozwolony ACE, udzieli dostępu użytkownikowi z ograniczeniami.

Poniższa ilustracja przedstawia listę DACL, która odmawia dostępu do jednego użytkownika i udziela dostępu do dwóch grup. Członkowie grupy A uzyskaj prawa dostępu do odczytu, zapisu i wykonywania, zbierając prawa dozwolone do grupy A i prawa dozwolone wszystkim. Wyjątkiem jest Andrew, który jest odmawiany dostępu przez odmowa dostępu ACE pomimo bycia członkiem grupy wszyscy.