Volitelný seznam řízení přístupu (DACL) v popisovači zabezpečení zajišťuje důležité funkce zabezpečení systému Windows. DACL je seznam položek, které přidělují nebo odpírají určitá práva konkrétním uživatelům nebo skupinám. Položka seznamu se nazývá položka řízení přístupu. Každá položka řízení přístupu se skládá z následujících částí:

  • identifikátor zabezpečení (SID) k identifikaci určitého uživatele nebo skupiny,

  • přístupový seznam, který určuje oprávnění přidělovaná nebo odpíraná uživateli nebo skupině.

Následuje příklad seznamu DACL:

  • DACL: User1 Full Control (All)

  • ToolGroup:Read(RX)

  • Everyone:Read (RX)

V tomto seznamu DACL má uživatel User1 přístup k souboru pro čtení, zápis a spuštění. Členové skupiny ToolGroup mají přístup pro čtení a spuštění. Členové skupiny Everyone (všichni uživatelé) mají přístup pro čtení a spuštění.

Pro přístup k souboru platí následující pravidla:

  • Pokud seznam DACL neexistuje, má kdokoli úplný přístup.

  • Pokud seznam DACL existuje, avšak neobsahuje žádné položky, nemá nikdo přístup.

  • Vlastník souboru může seznam DACL kdykoli změnit.

Pro seznam DACL platí následující pravidla:

  • Položky seznamu DACL se vyhledávají postupně.

  • Implicitně jsou všechna oprávnění odepřena.

  • Když bylo oprávnění odepřeno, nemůže být uděleno.

  • Když bylo oprávnění uděleno, nemůže být odepřeno.


Obsah