Списки управления доступом на уровне пользователей (DACL) в дескрипторе безопасности являются важной частью системы безопасности Windows. Список DACL содержит записи, предоставляющие права или отказывающие в предоставлении прав определенным пользователям и группам. Запись списка называется элементом управления доступом. Каждый элемент управления доступом состоит из следующих компонентов:

  • идентификатор (ИД) безопасности, используемый для идентификации определенного пользователя или группы;

  • список доступа, определяющий разрешения, которые запрещены или предоставлены для пользователя или группы.

Ниже приведен пример списка DACL:

  • DACL: Пользователь1 Full Control (All)

  • Gruppa1:Read(RX)

  • Everyone:Read (RX)

В этом примере DACL Пользователь1 имеет доступ на чтение, запись и выполнение файла. Члены группы Gruppa1 имеют доступ на чтение и выполнение. Члены группы Everyone («Все») имеют доступ на чтение и выполнение.

Доступ к файлу определяют перечисляемые ниже правила.

  • Если список DACL не существует, всем предоставляется полный доступ.

  • Если список DACL существует, но не содержит записей, доступ для всех запрещен.

  • Владелец файла всегда имеет возможность изменить список DACL.

В свою очередь к списку DACL применимы перечисляемые ниже правила.

  • Записи списка DACL просматриваются последовательно.

  • Все разрешения неявно запрещаются.

  • Если разрешение было запрещено, его невозможно предоставить.

  • Если разрешение предоставлено, его невозможно запретить.


Содержание