A lista de controle de acesso condicional (DACL) contida no descritor de segurança oferece o núcleo de segurança do Windows. A DACL é uma lista de entradas que concedem ou negam certos direitos a usuários ou grupos específicos. Cada entrada da lista chama-se entrada de controle de acesso (ACE). Cada ACE consiste nos seguintes itens:
-
Um identificador de segurança (SID) para identificar determinado usuário ou grupo.
-
Uma lista de acesso que especifica as permissões concedidas ou negadas ao usuário ou ao grupo.
Este é o exemplo de uma DACL:
-
DACL: Controle Total Usuário1 (Todos)
-
GrupodeFerramentas:Leitura (RX)
-
Todos: Leitura (RX)
Nesta DACL, Usuário1 leu, gravou e executou o acesso ao arquivo. Membros do Grupo de Ferramentas têm acesso de leitura e execução. Membros do grupo Todos (todos os usuários) têm acesso de leitura e execução.
As seguintes regras orientam o acesso a um arquivo:
-
Se não houver uma DACL, todos terão acesso completo.
-
Se houver uma DACL, mas sem entradas, todos terão acesso negado.
-
O proprietário do arquivo sempre pode alterar a DACL.
Por outro lado, estas regras aplicam-se à DACL:
-
As entradas da DACL são pesquisadas em sequência.
-
Todas as permissões são negadas implicitamente.
-
Depois de negada, a permissão não pode ser concedida.
-
Depois de concedida, a permissão não pode ser negada.