Списки управления доступом на уровне пользователей (DACL) в дескрипторе безопасности являются важной частью системы безопасности Windows. Список DACL содержит записи, предоставляющие права или отказывающие в предоставлении прав определенным пользователям и группам. Запись списка называется элементом управления доступом. Каждый элемент управления доступом состоит из следующих компонентов:
-
идентификатор (ИД) безопасности, используемый для идентификации определенного пользователя или группы;
-
список доступа, определяющий разрешения, которые запрещены или предоставлены для пользователя или группы.
Ниже приведен пример списка DACL:
-
DACL: Пользователь1 Full Control (All)
-
Gruppa1:Read(RX)
-
Everyone:Read (RX)
В этом примере DACL Пользователь1 имеет доступ на чтение, запись и выполнение файла. Члены группы Gruppa1 имеют доступ на чтение и выполнение. Члены группы Everyone («Все») имеют доступ на чтение и выполнение.
Доступ к файлу определяют перечисляемые ниже правила.
-
Если список DACL не существует, всем предоставляется полный доступ.
-
Если список DACL существует, но не содержит записей, доступ для всех запрещен.
-
Владелец файла всегда имеет возможность изменить список DACL.
В свою очередь к списку DACL применимы перечисляемые ниже правила.
-
Записи списка DACL просматриваются последовательно.
-
Все разрешения неявно запрещаются.
-
Если разрешение было запрещено, его невозможно предоставить.
-
Если разрешение предоставлено, его невозможно запретить.