Списки управления доступом на уровне пользователей (DACL) в дескрипторе безопасности являются важной частью системы безопасности Windows. Список DACL содержит записи, предоставляющие права или отказывающие в предоставлении прав определенным пользователям и группам. Запись списка называется элементом управления доступом. Каждый элемент управления доступом состоит из следующих компонентов:
- идентификатор (ИД) безопасности, используемый
для идентификации определенного пользователя или группы;
- список доступа, определяющий разрешения,
которые запрещены или предоставлены для пользователя или
группы.
Ниже приведен пример списка DACL:
- DACL: Пользователь1 Full Control (All)
- Gruppa1:Read(RX)
- Everyone:Read (RX)
В этом примере DACL Пользователь1 имеет доступ на чтение, запись и выполнение файла. Члены группы Gruppa1 имеют доступ на чтение и выполнение. Члены группы Everyone («Все») имеют доступ на чтение и выполнение.
Доступ к файлу определяют перечисляемые ниже правила.
- Если список DACL не существует, всем
предоставляется полный доступ.
- Если список DACL существует, но не содержит
записей, доступ для всех запрещен.
- Владелец файла всегда имеет возможность
изменить список DACL.
В свою очередь к списку DACL применимы перечисляемые ниже правила.
- Записи списка DACL просматриваются
последовательно.
- Все разрешения неявно запрещаются.
- Если разрешение было запрещено, его
невозможно предоставить.
- Если разрешение предоставлено, его невозможно
запретить.