セキュリティ記述子内の随意アクセス制御リスト (DACL) は、Windows セキュリティの重要な要素として機能します。DACL は、特定のユーザーやグループに対して、特定の権限を付与または拒否するエントリの一覧です。一覧のエントリは、アクセス制御エントリ (ACE) と呼ばれます。各 ACE の構成要素は、次のとおりです。
-
特定のユーザーまたはグループを識別するセキュリティ識別子 (SID)
-
ユーザーまたはグループに対して許可または拒否するアクセス権を指定する、アクセス権の一覧
次に、DACL の例を示します。
-
DACL: User1 フル コントロール (すべて)
-
ToolGroup: 読み取り (RX)
-
Everyone: 読み取り (RX)
この DACL の場合、User1 はファイルに対して読み取り、書き込み、実行のアクセス権を持ちます。ToolGroup グループのメンバーは、読み取りと実行のアクセス権を持ちます。Everyone グループのメンバー (全ユーザー) は、読み取りと実行のアクセス権を持ちます。
ファイルへのアクセスは、次の規則によって制御されます。
-
DACL が存在しない場合は、全員にフル アクセス権が付与されます。
-
DACL が存在しても、エントリが含まれていない場合は、全員がアクセスを拒否されます。
-
ファイル所有者は、いつでも DACL を変更できます。
DACL には、次の規則が適用されます。
-
DACL エントリは順番に検索されます。
-
すべてのアクセス権は暗黙的に拒否されます。
-
一度拒否されたアクセス権は、付与できません。
-
一度付与されたアクセス権は、拒否できません。