Избирательные таблицы управления доступом (DACL) в дескрипторе безопасности являются основой безопасности Windows. DACL представляет собой список записей, предоставляющих права или отказывающих в предоставлении прав определенным пользователям и группам. Запись списка называется записью управления доступом (ACE). Каждая запись ACE состоит из следующего:
- Идентификатор безопасности (SID), используемый для
идентификации определенного пользователя или группы.
- Список доступа, определяющий разрешения, которые запрещены или
предоставлены для пользователя или группы.
Ниже приведен пример DACL:
- DACL: Ivanov Full Control (All)
- Gruppa1:Read(RX)
- Everyone:Read (RX)
В этом примере DACL, Ivanov имеет доступ на чтение, запись и выполнение файла. Члены группы Gruppa1 имеют доступ на чтение и выполнение. Члены группы Everyone («Все») имеют доступ на чтение и выполнение.
Следующие правила определяют доступ к файлу:
- Если DACL не существует, всем предоставляется полный
доступ.
- Если DACL существует, но не содержит записей, доступ для всех
запрещен.
- Владелец файла всегда имеет возможность изменить DACL.
В свою очередь, следующие правила применимы к DACL:
- Записи DACL просматриваются последовательно.
- Все разрешения явно запрещаются.
- Если разрешение было запрещено, его невозможно
предоставить.
- Если разрешение предоставлено, его невозможно запретить.
Дополнительные сведения см. в разделе Использование дескрипторов безопасности Windowsс сервером для NFS.