DACL と ACE

Windows オブジェクトに 随意アクセス制御リスト (DACL) がない場合、システムは、すべてのユーザーに完全なアクセスを許可します。 オブジェクトに DACL がある場合、システムは DACL 内の アクセス制御エントリ (ACE) によって明示的に許可されているアクセスのみを許可します。 DACL に ACE がない場合、システムは誰にもアクセスを許可しません。 同様に、DACL に、限られたユーザーまたはグループのセットへのアクセスを許可する ACE がある場合、システムは ACE に含まれていないすべてのトラスティへのアクセスを暗黙的に拒否します。

ほとんどの場合、アクセス許可 ACE を使用してオブジェクトへのアクセスを制御できます。オブジェクトへのアクセスを明示的に拒否する必要はありません。 例外は、ACE がグループへのアクセスを許可し、グループのメンバーへのアクセスを拒否する場合です。 これを行うには、DACL 内のユーザーのアクセス拒否 ACE を、グループのアクセス許可 ACE の前に配置します。 アクセスが許可または拒否されるまで、システムは ACE を順番に読み取るため、 ACE の順序 が重要であることに注意してください。 ユーザーのアクセス拒否 ACE を最初に表示する必要があります。それ以外の場合、システムはグループのアクセス許可 ACE を読み取ると、制限されたユーザーへのアクセスを許可します。

次の図は、1 人のユーザーへのアクセスを拒否し、2 つのグループへのアクセスを許可する DACL を示しています。 グループ A のメンバーは、グループ A に許可されている権限と Everyone に許可されている権限を蓄積することで、読み取り、書き込み、実行のアクセス権を取得します。 例外は Andrew で、Everyone グループのメンバーであるにもかかわらず、アクセス拒否 ACE によってアクセスが拒否されます。