Güvenlik tanımlayıcısı içindeki isteğe bağlı erişim denetim listesi (DACL) Windows güvenliğinin önemli bir kısmını sağlar. DACL, belirli kullanıcılara veya gruplara belirli hakları veren veya engelleyen girdilerden oluşan bir listedir. Liste girdisine erişim denetimi girdisi (ACE) denir. Her ACE aşağıdakilerden oluşur:

  • Belirli bir kullanıcıyı veya grubu tanımlamak için bir güvenlik tanımlayıcısı (SID)

  • Kullanıcı veya grup için izin verilen veya engellenen izinleri belirten bir erişim listesi

Aşağıda bir DACL örneği verilmiştir:

  • DACL: User1 Full Control (All)

  • ToolGroup:Read (RX)

  • Everyone:Read (RX)

Bu DACL'de, User1'in dosyaya okuma, yazma ve yürütme erişimi vardır. ToolGroup grubu üyelerinin okuma ve yürütme erişimi vardır. Everyone grubu (tüm kullanıcılar) üyelerinin de okuma ve yürütme erişimi vardır.

Bir dosyaya erişimi şu kurallar belirler:

  • DACL yoksa, herkese tam erişim verilir.

  • DACL var ama girdi içermiyorsa, herkesin erişimi reddedilir.

  • Dosya sahibinin her zaman DACL'yi değiştirme yetkisi vardır.

Aşağıdaki kurallar da DACL için geçerlidir:

  • DACL girdileri sırayla aranır.

  • Tüm izinler kapalı olarak reddedilir.

  • Bir izin reddedildikten sonra, verilemez.

  • Bir izin verildikten sonra, reddedilemez.


İçindekiler