De DACL (Discretionary Access Control List) binnen de security descriptor is een belangrijk onderdeel van de Windows-beveiliging. De DACL is een lijst met vermeldingen waarmee bepaalde rechten voor specifieke gebruikers of groepen worden verleend of geweigerd. Een vermelding wordt een ACE (Access Control Entry) genoemd. Elke ACE bestaat uit de volgende elementen:
-
Een beveiligings-id (SID) waarmee een bepaalde gebruiker of groep wordt aangegeven
-
Een toegangslijst met de verleende of geweigerde machtigingen voor de gebruiker of groep
Hier volgt een voorbeeld van een DACL:
-
DACL: Gebruiker1 Volledig beheer (alles)
-
Programmagroep:Lezen(LU)
-
Iedereen:Lezen(LU)
In deze DACL heeft Gebruiker1 lees-, schrijf- en uitvoertoegang tot het bestand. Leden van de groep Programmagroep hebben lees- en uitvoertoegang. Leden van de groep Iedereen (alle gebruikers) hebben lees- en uitvoertoegang.
De volgende regels zijn van toepassing op de toegang tot een bestand:
-
Als er geen DACL beschikbaar is, heeft iedereen volledige toegang.
-
Als er een DACL beschikbaar is, maar deze geen vermeldingen bevat, wordt de toegang voor iedereen geweigerd.
-
De bestandseigenaar kan de DACL altijd wijzigen.
Op basis daarvan zijn de volgende regels van toepassing op de DACL:
-
DACL-vermeldingen worden op volgorde doorzocht.
-
Alle machtigingen worden impliciet geweigerd.
-
Wanneer een machtiging is geweigerd, kan deze niet worden verleend.
-
Wanneer een machtiging is verleend, kan deze niet worden geweigerd.