安全描述符中的随机访问控制列表 (DACL) 提供了 Windows 安全的重要组成部分。DACL 是为特定用户或组授予或拒绝特定权限的项的列表。列表项称为访问控制项 (ACE)。每个 ACE 由以下内容组成:

  • 用于识别特定用户或组的安全标识符 (SID)

  • 用于指定用户或组的允许或拒绝权限的访问列表

以下是 DACL 的示例:

  • DACL:User1 完全控制(全部)

  • ToolGroup:Read(RX)

  • Everyone:Read (RX)

在此 DACL 中,User1 拥有对文件的读取、写入和执行访问权限。组 ToolGroup 的成员拥有读取和执行访问权限。组 Everyone) 的成员(所有用户)拥有读取和执行访问权限。

以下规则控制对文件的访问权限:

  • 如果不存在任何 DACL,将为所有用户授予完全访问权限。

  • 如果存在 DACL,但是不包含任何项,将拒绝所有用户的访问。

  • 文件所有者始终可以更改 DACL。

另一方面,以下规则适用于 DACL:

  • 按顺序搜索 DACL 项。

  • 隐式拒绝所有权限。

  • 无法授予已被拒绝的权限。

  • 无法拒绝已被授予的权限。