安全性描述元中的判別存取控制清單 (DACL) 是 Windows 安全性的重要部分。DACL 是一組可授與或拒絕特定使用者或群組之特定權限的項目清單。清單項目可稱為存取控制項目 (ACE)。每個 ACE 中包含了下列項目:
-
用以識別特定使用者或群組的安全性識別碼 (SID)
-
一組存取清單,用以指定使用者或群組的允許權限或拒絕權限
以下是 DACL 的範例:
-
DACL:User1 完全控制 (全部)
-
ToolGroup:Read(RX)
-
Everyone:Read (RX)
在此 DACL 中,User1 具有檔案的讀取、寫入與執行權限。ToolGroup 群組成員具有讀取權限與執行權限。Everyone 群組成員 (所有使用者) 具有讀取權限與執行權限。
下列規則可控制檔案存取:
-
如果沒有 DACL,則所有使用者都會被授與完整存取權。
-
如果具有 DACL,但其中不含任何項目,則會拒絕所有使用者的存取。
-
檔案擁有者隨時都可以變更 DACL。
接著,這些規則將會套用到 DACL 上:
-
會依序搜尋 DACL 項目。
-
所有權限都會被隱含地拒絕。
-
權限拒絕後,就無法授與。
-
權限授與後,就無法拒絕。