A biztonsági leírókban található tulajdonosi hozzáférés-vezérlési listák (DACL-ek) a Windows-alapú biztonsági architektúra fontos részét alkotják. A rendszer a tulajdonosi hozzáférés-vezérlési listák bejegyzései alapján osztja ki vagy tagadja meg a jogokat az egyes felhasználók vagy felhasználócsoportok esetében. A listában található bejegyzések neve hozzáférés-vezérlő bejegyzés (ACE). Az egyes hozzáférés-vezérlő bejegyzések a következő elemeket tartalmazzák:
-
Az adott felhasználó vagy csoport biztonsági azonosítója (SID)
-
A felhasználó vagy csoport számára engedélyezett vagy tiltott műveleteket meghatározó hozzáférési lista
Az alábbiakban egy példa látható a tulajdonosi hozzáférés-vezérlési listára:
-
Hozzáférés-vezérlési lista: Felhasználó1: Teljes hozzáférés (Minden)
-
Eszközcsoport: Olvasás (RX)
-
Mindenki: Olvasás (RX)
Eszerint a tulajdonosi hozzáférés-vezérlési lista szerint Felhasználó1 olvasási, írási és végrehajtási hozzáféréssel rendelkezik a fájlra vonatkozólag. Az Eszközcsoport csoport tagjai olvasási és végrehajtási hozzáféréssel rendelkeznek. A Mindenki (Minden felhasználó) csoport tagjai olvasási és végrehajtási hozzáféréssel rendelkeznek.
A fájlokhoz való hozzáférés engedélyezése az alábbi szabályok alapján történik:
-
Tulajdonosi hozzáférés-vezérlési lista hiányában minden felhasználó teljes hozzáférési joggal bír.
-
Ha van ugyan tulajdonosi hozzáférés-vezérlési lista, de nem tartalmaz bejegyzéseket, a rendszer mindenkitől megtagadja a hozzáférést.
-
A fájl tulajdonosa minden esetben megváltoztathatja a tulajdonosi hozzáférés-vezérlési listát.
A tulajdonosi hozzáférés-vezérlési listákra ugyanakkor a következő szabályok vonatkoznak:
-
A lista bejegyzéseit sorrendben dolgozza fel a rendszer.
-
A listában nem szereplő minden engedélyt megtagad a rendszer.
-
Az egyszer már megtagadott engedélyek később nem adhatók meg.
-
Az egyszer már megadott engedélyek később nem tagadhatók meg.