セキュリティ記述子内の随意アクセス制御リスト (DACL) は、Windows セキュリティの重要な要素として機能します。DACL は、特定のユーザーやグループに対して、特定の権限を付与または拒否するエントリの一覧です。一覧のエントリは、アクセス制御エントリ (ACE) と呼ばれます。各 ACE の構成要素は、次のとおりです。

  • 特定のユーザーまたはグループを識別するセキュリティ識別子 (SID)

  • ユーザーまたはグループに対して許可または拒否するアクセス権を指定する、アクセス権の一覧

次に、DACL の例を示します。

  • DACL: User1 フル コントロール (すべて)

  • ToolGroup: 読み取り (RX)

  • Everyone: 読み取り (RX)

この DACL の場合、User1 はファイルに対して読み取り、書き込み、実行のアクセス権を持ちます。ToolGroup グループのメンバーは、読み取りと実行のアクセス権を持ちます。Everyone グループのメンバー (全ユーザー) は、読み取りと実行のアクセス権を持ちます。

ファイルへのアクセスは、次の規則によって制御されます。

  • DACL が存在しない場合は、全員にフル アクセス権が付与されます。

  • DACL が存在しても、エントリが含まれていない場合は、全員がアクセスを拒否されます。

  • ファイル所有者は、いつでも DACL を変更できます。

DACL には、次の規則が適用されます。

  • DACL エントリは順番に検索されます。

  • すべてのアクセス権は暗黙的に拒否されます。

  • 一度拒否されたアクセス権は、付与できません。

  • 一度付与されたアクセス権は、拒否できません。


目次