DACL 和 ACE

如果 Windows 物件沒有 任意存取控制清單 （DACL），系統就會允許所有人完整存取它。 如果物件具有 DACL，則系統只允許 DACL 中 訪問控制專案明確允許的存取（ACE）。 如果 DACL 中沒有 ACE，則系統不允許存取任何人。 同樣地，如果 DACL 具有允許存取一組有限使用者或群組的 ACE，則系統會隱含拒絕存取未包含在 ACE 中的所有信任項。

在大部分情況下，您可以使用允許存取的 ACE 來控制對物件的存取;您不需要明確拒絕對物件的存取。 例外狀況是 ACE 允許存取群組，而您想要拒絕群組成員的存取權。 若要這樣做，請在群組的允許存取 ACE 之前，在 DACL 中為使用者放置拒絕存取的 ACE。 請注意，ACE 順序很重要，因為系統會依序讀取 ACE，直到授與或拒絕存取為止。 使用者拒絕存取的 ACE 必須先出現;否則，當系統讀取群組允許的 ACE 存取權時，它會將存取權授與受限制的使用者。

下圖顯示 DACL，拒絕存取一位使用者，並授與兩個群組的存取權。 群組 A 的成員會累積群組 A 允許的許可權，以及允許所有人的許可權，以取得讀取、寫入和執行訪問許可權。 例外狀況是 Andrew，儘管是所有人群組的成員，但遭到拒絕存取的 ACE 拒絕存取。

根據群組成員資格授與不同訪問許可權的