安全描述符中的随机访问控制列表 (DACL) 提供了 Windows 安全的重要组成部分。DACL 是为特定用户或组授予或拒绝特定权限的项的列表。列表项称为访问控制项 (ACE)。每个 ACE 由以下内容组成:
-
用于识别特定用户或组的安全标识符 (SID)
-
用于指定用户或组的允许或拒绝权限的访问列表
以下是 DACL 的示例:
-
DACL:User1 完全控制(全部)
-
ToolGroup:Read(RX)
-
Everyone:Read (RX)
在此 DACL 中,User1 拥有对文件的读取、写入和执行访问权限。组 ToolGroup 的成员拥有读取和执行访问权限。组 Everyone) 的成员(所有用户)拥有读取和执行访问权限。
以下规则控制对文件的访问权限:
-
如果不存在任何 DACL,将为所有用户授予完全访问权限。
-
如果存在 DACL,但是不包含任何项,将拒绝所有用户的访问。
-
文件所有者始终可以更改 DACL。
另一方面,以下规则适用于 DACL:
-
按顺序搜索 DACL 项。
-
隐式拒绝所有权限。
-
无法授予已被拒绝的权限。
-
无法拒绝已被授予的权限。