Die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) in der Sicherheitsbeschreibung ist ein wichtiger Bestandteil der Windows-Sicherheit. Die DACL ist eine Liste von Einträgen, die bestimmten Benutzern oder Gruppen spezielle Rechte gewähren oder verweigern. Ein Listeneintrag wird als Eintrag für die Zugriffssteuerung (Access Control Entry, ACE) bezeichnet. Jeder Eintrag für die Zugriffsteuerung besteht aus folgenden Elementen:
-
Einer Sicherheitskennung (SID) zum Identifizieren eines bestimmten Benutzers bzw. einer Gruppe
-
Einer Zugriffsliste, die für den Benutzer bzw. die Gruppe gewährte oder verweigerte Berechtigungen enthält
Im Folgenden sehen Sie ein Beispiel für eine DACL:
-
DACL: Benutzer1 Full Control (All)
-
ToolGroup:Read(RX)
-
Jeder:Read (RX)
In dieser DACL hat Benutzer1 Lese-, Schreib- und Ausführungszugriff auf die Datei. Mitglieder der Gruppe ToolGroup haben Lese- und Ausführungszugriff. Mitglieder der Gruppe Jeder (alle Benutzer) haben Lese- und Ausführungszugriff.
Der Zugriff auf eine Datei unterliegt den folgenden Regeln:
-
Wenn keine DACL vorhanden ist, erhält jeder Benutzer Vollzugriff.
-
Wenn eine DACL vorhanden, aber leer ist, wird jedem Benutzer der Zugriff verweigert.
-
Der Dateibesitzer kann die DACL immer ändern.
Für die DACL gelten wiederum folgende Regeln:
-
DACL-Einträge werden nacheinander durchsucht.
-
Alle Berechtigungen werden implizit verweigert.
-
Nachdem eine Berechtigung verweigert wurde, kann sie nicht mehr gewährt werden.
-
Nachdem eine Berechtigung gewährt wurde, kann sie nicht mehr verweigert werden.