보안 설명자 내의 DACL(임의 액세스 제어 목록)은 Windows 보안의 중요한 부분을 제공합니다. DACL은 특정한 사용자 또는 그룹에 대한 특정 권한을 허용하거나 거부하는 항목 목록입니다. 목록 항목을 ACE(액세스 제어 항목)라고 하며 각 ACE는 다음으로 구성됩니다.

  • 특정 사용자 또는 그룹을 확인하기 위한 SID(보안 식별자)입니다.

  • 사용자 또는 그룹에 허용되거나 거부되는 권한을 지정하는 액세스 목록입니다.

다음은 DACL의 예입니다.

  • DACL: User1 Full Control (All)

  • ToolGroup:Read(RX)

  • Everyone:Read (RX)

이 DACL에서 User1은 파일에 대한 읽기, 쓰기 및 실행 권한이 있습니다. ToolGroup 그룹의 구성원은 읽기 및 실행 권한이 있습니다. Everyone(모든 사용자) 그룹의 구성원은 읽기 및 실행 권한이 있습니다.

다음 규칙으로 파일에 대한 액세스를 제어합니다.

  • DACL이 없는 경우 모든 사용자에게 모든 권한이 허용됩니다.

  • DACL은 있지만 항목이 없는 경우 모든 사용자의 액세스가 거부됩니다.

  • 파일 소유자는 항상 DACL을 변경할 수 있습니다.

차례로 다음과 같은 규칙이 DACL에 적용됩니다.

  • DACL 항목이 순차적으로 검색됩니다.

  • 모든 권한이 암시적으로 거부됩니다.

  • 권한이 거부되면 허용할 수 없습니다.

  • 권한이 허용되면 거부할 수 없습니다.