訪問控制清單

存取控制清單 （ACL） 是 存取控制專案清單 （ACE）。 ACL 中的每個 ACE 都會識別 信任，並指定該信任者允許、拒絕或稽核 訪問許可權。 安全性實體 物件的 安全性描述元 可以包含兩種類型的 ACL：DACL 和 SACL。

選擇性訪問控制清單 （DACL） 會識別安全性實體對象的允許或拒絕存取的受託人。 當 程式 嘗試存取安全性實體物件時，系統會檢查物件 DACL 中的 ACE，以判斷是否要授與存取權。 如果對象沒有 DACL，系統就會授與所有人的完整存取權。 如果物件的 DACL 沒有 ACE，系統會拒絕所有嘗試存取對象，因為 DACL 不允許任何訪問許可權。 系統會依序檢查 ACE，直到找到允許所有要求訪問許可權的一或多個 ACE，或直到任何要求的訪問許可權遭到拒絕為止。 如需詳細資訊，請參閱 DACL 如何控制對物件的存取。 如需如何正確建立 DACL 的詳細資訊，請參閱 建立 DACL。

系統存取控制清單 （SACL） 可讓系統管理員記錄嘗試存取受保護的物件。 每個 ACE 都會指定指定信任項的存取嘗試類型，導致系統在安全性事件記錄檔中產生記錄。 SACL中的 ACE 可以在存取嘗試失敗、成功或兩者時產生稽核記錄。 如需 SCL 的詳細資訊，請參閱 稽核產生 和 SACL 存取權限。

請勿嘗試直接使用 ACL 的內容。 若要確保 ACL 語意正確，請使用適當的函式來建立及作 ACL。 如需詳細資訊，請參閱 從 ACL 取得資訊，建立或修改 ACL。

ACL 也會提供訪問控制給 Microsoft Active Directory 服務物件。 Active Directory 服務介面 （ADSI） 包含用來建立和修改這些 ACL 內容的例程。 如需詳細資訊，請參閱在 Active Directory Domain Services 中控制物件存取。