Poufna lista kontroli dostępu (DACL, Discretionary Access Control List) w deskryptorze zabezpieczeń stanowi zasadniczy mechanizm bezpieczeństwa w systemie Windows. Lista DACL ma postać listy wpisów nadających lub odbierających pewne prawa określonym użytkownikom i grupom. Wpis na liście nosi nazwę wpisu kontroli dostępu (ACE). Każdy wpis ACE składa się z następujących elementów:
-
Identyfikator zabezpieczeń (SID), określający użytkownika lub grupę
-
Lista dostępu określająca uprawnienia przyznane lub odmówione użytkownikowi lub grupie
Poniżej przedstawiono przykład listy DACL:
-
DACL: Użytkownik1 Pełna kontrola (Wszystkie)
-
Grupa_robocza:Odczyt(RX)
-
Wszyscy:Odczyt (RX)
Na powyższej liście DACL Użytkownik1 ma uprawnienie do odczytu, zapisu i wykonywania pliku. Członkowie grupy Grupa_robocza mają dostęp do odczytu i wykonywania. Członkowie grupy Wszyscy (wszyscy użytkownicy) mają dostęp do odczytu i wykonywania.
Dostępem do pliku rządzą następujące zasady:
-
Jeśli nie określono listy DACL, wszystkim użytkownikom jest przyznawany pełny dostęp.
-
Jeśli lista DACL istnieje, ale nie zawiera żadnych pozycji, wszyscy użytkownicy mają zabroniony dostęp.
-
Właściciel pliku ma zawsze prawo do zmiany listy DACL.
Lista DACL podlega następującym zasadom:
-
Wpisy na liście DACL są przeszukiwane w kolejności występowania.
-
Następuje niejawna odmowa wszystkich uprawnień.
-
Uprawnienie, którego raz odmówiono, nie może zostać przyznane.
-
Raz przyznanego uprawnienia nie można już odmówić.