DACLs und ACEs
Wenn ein Windows-Objekt nicht über eine diskretionäre Zugriffssteuerungsliste (DACL) verfügt, ermöglicht das System allen Benutzern vollen Zugriff darauf. Wenn ein Objekt über eine DACL verfügt, lässt das System nur den Zugriff zu, der explizit von den Zugriffssteuerungseinträgen (Access Control Entries , ACEs) in der DACL zugelassen wird. Wenn keine ACEs in der DACL vorhanden sind, lässt das System niemandem den Zugriff zu. Wenn eine DACL über ACEs verfügt, die den Zugriff auf eine begrenzte Gruppe von Benutzern oder Gruppen zulassen, verweigert das System implizit allen Trustees, die nicht in den ACEs enthalten sind, den Zugriff.
In den meisten Fällen können Sie den Zugriff auf ein Objekt mithilfe zugriffsberechtigter ACEs steuern. Sie müssen nicht explizit den Zugriff auf ein Objekt verweigern. Die Ausnahme ist, wenn ein ACE den Zugriff auf eine Gruppe zulässt und Sie einem Mitglied der Gruppe den Zugriff verweigern möchten. Platzieren Sie dazu einen Zugriffsverweigerungs-ACE für den Benutzer in der DACL vor dem zugriffsberechtigten ACE für die Gruppe. Beachten Sie, dass die Reihenfolge der ACEs wichtig ist, da das System die ACEs nacheinander liest, bis der Zugriff gewährt oder verweigert wird. Die Zugriffsverweigerungs-ACE des Benutzers muss zuerst angezeigt werden. Andernfalls gewährt das System dem eingeschränkten Benutzer Zugriff, wenn es den zugriffsberechtigten ACE der Gruppe liest.
Die folgende Abbildung zeigt eine DACL, die einem Benutzer den Zugriff verweigert und zwei Gruppen Zugriff gewährt. Die Mitglieder von Gruppe A erhalten Lese-, Schreib- und Ausführungsberechtigungen, indem sie die für Gruppe A zulässigen Rechte und die für Alle zulässigen Rechte sammeln. Die Ausnahme ist Andrew, dem der ACE den Zugriff verweigert, obwohl er Mitglied der Gruppe "Jeder" ist.