DACL:er och ACL:er

Om ett Windows-objekt inte har en diskretionär åtkomstkontrollista (DACL) ger systemet alla fullständig åtkomst till det. Om ett objekt har en DACL tillåter systemet endast den åtkomst som uttryckligen tillåts av åtkomstkontrollposter (ACL) i DACL. Om det inte finns några ACL:er i DACL tillåter systemet inte åtkomst till någon. På samma sätt nekar systemet implicit åtkomst till alla förvaltare som inte ingår i ACL:erna om en DACL har åtkomst till en begränsad uppsättning användare eller grupper.

I de flesta fall kan du styra åtkomsten till ett objekt med hjälp av åtkomst-tillåtna ACL:er. du behöver inte uttryckligen neka åtkomst till ett objekt. Undantaget är när ett ACE tillåter åtkomst till en grupp och du vill neka åtkomst till en medlem i gruppen. Det gör du genom att placera ett åtkomst nekat ACE för användaren i DACL före åtkomstberättade ACE för gruppen. Observera att den ordningen för ACL:erna är viktig eftersom systemet läser ACL:erna i ordning tills åtkomst beviljas eller nekas. Användarens åtkomst nekad ACE måste visas först. Annars, när systemet läser gruppens åtkomst tillåtna ACE, kommer det att ge åtkomst till den begränsade användaren.

Följande bild visar en DACL som nekar åtkomst till en användare och ger åtkomst till två grupper. Medlemmarna i grupp A får läs-, skriv- och körbehörighet genom att samla in de rättigheter som tillåts till grupp A och rättigheter som tillåts till Alla. Undantaget är Andrew, som nekas åtkomst av åtkomst nekad ACE trots att han är medlem i gruppen Alla.