DACLs e ACEs
Se um objeto do Windows não tiver uma lista de controle de acesso discricionário (DACL), o sistema permitirá que todos tenham acesso total a ele. Se um objeto tiver uma DACL, o sistema permitirá apenas o acesso explicitamente permitido pelasde entrada de controle de acesso(ACEs) na DACL. Se não houver ACEs na DACL, o sistema não permite o acesso a ninguém. Da mesma forma, se uma DACL tiver ACEs que permitam o acesso a um conjunto limitado de usuários ou grupos, o sistema negará implicitamente o acesso a todos os administradores não incluídos nas ACEs.
Na maioria dos casos, você pode controlar o acesso a um objeto usando ACEs de acesso permitido; Não é necessário negar explicitamente o acesso a um objeto. A exceção é quando uma ACE permite acesso a um grupo e você deseja negar acesso a um membro do grupo. Para fazer isso, coloque uma ACE de acesso negado para o usuário na DACL antes da ACE de acesso permitido para o grupo. Observe que a ordem das ACEs é importante porque o sistema lê as ACEs em sequência até que o acesso seja concedido ou negado. A ACE de acesso negado do usuário deve aparecer primeiro; caso contrário, quando o sistema ler o acesso permitido do grupo ACE, ele concederá acesso ao usuário restrito.
A ilustração a seguir mostra uma DACL que nega acesso a um usuário e concede acesso a dois grupos. Os membros do Grupo A obtêm direitos de acesso de Leitura, Escrita e Execução acumulando os direitos permitidos ao Grupo A e os direitos permitidos a Todos. A exceção é Andrew, cujo acesso é negado pelo ACE de acesso negado, apesar de ser membro do Everyone Group.