DACL (Discretionary Access Control List) i säkerhetsbeskrivaren tillhandahåller en viktig del av säkerheten i Windows. DACL är en lista med poster som tilldelar eller nekar vissa rättigheter till angivna användare eller grupper. En listpost kallas för en åtkomstkontrollpost (ACE). Varje åtkomstkontrollpost består av följande:
-
En SID (säkerhetsidentifierare) för att identifiera en viss användare eller grupp
-
En åtkomstlista som anger de behörigheter som är tillåtna eller inte tillåtna för användaren eller gruppen
Följande är ett exempel på en DACL:
-
DACL: User1 Fullständig kontroll (alla)
-
ToolGroup:Read(RX)
-
Everyone:Read (RX)
I denna DACL har User1 läs-, skriv- och körningsbehörighet för filen. Medlemmar i gruppen ToolGroup har läs- och körningsbehörighet. Medlemmar i gruppen Everyone (alla användare) har läs- och körningsbehörighet.
Följande regler styr åtkomst till en fil:
-
Om det inte finns någon DACL tilldelas alla fullständig åtkomst.
-
Om det finns en DACL men inte innehåller några poster nekas alla åtkomst.
-
Filägaren har alltid möjlighet att ändra DACL.
I tur och ordning gäller dessa regler för DACL:
-
DACL-poster söks sekventiellt.
-
Alla behörigheter är nekas implicit.
-
När en behörighet har blivit nekad kan den inte tilldelas.
-
När en behörighet har blivit tilldelad kan den inte nekad.