DACLs e ACL

Se un oggetto Windows non ha un elenco di controllo di accesso discrezionale (DACL), il sistema consente a tutti l'accesso completo. Se un oggetto ha un daCL, il sistema consente solo l'accesso consentito in modo esplicito dalle voci di controllo di accesso (ACL) nell'elenco di controllo di accesso. Se non sono presenti aces nell'elenco dati, il sistema non consente l'accesso a nessuno. Analogamente, se un daCL dispone di ACL che consentono l'accesso a un set limitato di utenti o gruppi, il sistema nega in modo implicito l'accesso a tutti i trustee non inclusi negli ACL.

Nella maggior parte dei casi, è possibile controllare l'accesso a un oggetto usando gli ACL consentiti per l'accesso; non è necessario negare esplicitamente l'accesso a un oggetto. L'eccezione è quando un ACE consente l'accesso a un gruppo e si vuole negare l'accesso a un membro del gruppo. A tale scopo, inserire un ACE negato di accesso per l'utente nell'elenco di controllo dati prima dell'ace consentito per l'accesso per il gruppo. Si noti che l'ordine degli ACL è importante perché il sistema legge gli ACL in sequenza fino a quando l'accesso non viene concesso o negato. L'ace negato all'utente deve essere visualizzato prima; in caso contrario, quando il sistema legge l'accesso consentito al gruppo ACE, concederà l'accesso all'utente con restrizioni.

Nella figura seguente viene illustrato un elenco dati che nega l'accesso a un utente e concede l'accesso a due gruppi. I membri del gruppo A ottengono diritti di accesso di lettura, scrittura ed esecuzione accumulando i diritti consentiti per raggruppare A e diritti consentiti a Tutti. L'eccezione è Andrew, che è negato l'accesso da parte dell'ACE negato di accesso nonostante essere un membro del gruppo Tutti.