Списки управления доступом и доступом КК

Если у объекта Windows нет списка управления доступом для управления доступом (DACL), система разрешает всем пользователям полный доступ к нему. Если объект имеет DACL, система разрешает только доступ, который явно разрешен записями управления доступом (ACEs) в DACL. Если в DACL нет acES, система не разрешает доступ к кому-либо. Аналогичным образом, если в DACL есть ACEs, которые разрешают доступ к ограниченному набору пользователей или групп, система неявно запрещает доступ ко всем доверенным лицам, не включенным в acEs.

В большинстве случаев можно управлять доступом к объекту с помощью разрешенных доступом acEs; Не нужно явно запретить доступ к объекту. Исключение заключается в том, что ACE разрешает доступ к группе и требуется запретить доступ к члену группы. Для этого поместите доступ отказано в ACE пользователя в DACL перед разрешенным доступом ACE для группы. Обратите внимание, что порядок acEs важен, так как система считывает acEs в последовательности, пока доступ не будет предоставлен или запрещен. Сначала должен появиться доступ отказано в доступе пользователя; В противном случае, когда система считывает доступ группы, разрешенный ACE, он предоставит доступ пользователю с ограниченным доступом.

На следующем рисунке показан daCL, который запрещает доступ к одному пользователю и предоставляет доступ к двум группам. Члены группы A получают права доступа на чтение, запись и выполнение, накапливая права, разрешенные группе A и права, разрешенные всем. Исключением является Эндрю, который отказано в доступе отказано в доступе ACE, несмотря на то, что он является членом группы "Все".