A lista de controle de acesso condicional (DACL) contida no descritor de segurança oferece o núcleo de segurança do Windows. A DACL é uma lista de entradas que concedem ou negam certos direitos a usuários ou grupos específicos. Cada entrada da lista chama-se entrada de controle de acesso (ACE). Cada ACE consiste nos seguintes itens:

  • Um identificador de segurança (SID) para identificar determinado usuário ou grupo.

  • Uma lista de acesso que especifica as permissões concedidas ou negadas ao usuário ou ao grupo.

Este é o exemplo de uma DACL:

  • DACL: Controle Total Usuário1 (Todos)

  • GrupodeFerramentas:Leitura (RX)

  • Todos: Leitura (RX)

Nesta DACL, Usuário1 leu, gravou e executou o acesso ao arquivo. Membros do Grupo de Ferramentas têm acesso de leitura e execução. Membros do grupo Todos (todos os usuários) têm acesso de leitura e execução.

As seguintes regras orientam o acesso a um arquivo:

  • Se não houver uma DACL, todos terão acesso completo.

  • Se houver uma DACL, mas sem entradas, todos terão acesso negado.

  • O proprietário do arquivo sempre pode alterar a DACL.

Por outro lado, estas regras aplicam-se à DACL:

  • As entradas da DACL são pesquisadas em sequência.

  • Todas as permissões são negadas implicitamente.

  • Depois de negada, a permissão não pode ser concedida.

  • Depois de concedida, a permissão não pode ser negada.


Sumário