DACLs e ACEs

Se um objeto windows não tiver uma DACL ( lista de controle de acesso discricionário ), o sistema permitirá que todos tenham acesso total a ele. Se um objeto tiver uma DACL, o sistema permitirá apenas o acesso que é explicitamente permitido pelas ACEs (entradas de controle de acesso ) na DACL. Se não houver ACEs na DACL, o sistema não permitirá acesso a ninguém. Da mesma forma, se uma DACL tiver ACEs que permitem acesso a um conjunto limitado de usuários ou grupos, o sistema nega implicitamente o acesso a todos os administradores não incluídos nas ACEs.

Na maioria dos casos, você pode controlar o acesso a um objeto usando ACEs permitidas pelo acesso; você não precisa negar explicitamente o acesso a um objeto . A exceção é quando um ACE permite o acesso a um grupo e você deseja negar acesso a um membro do grupo. Para fazer isso, coloque um ACE negado pelo acesso para o usuário na DACL antes do ACE permitido pelo acesso para o grupo. Observe que a ordem dos ACEs é importante porque o sistema lê os ACEs em sequência até que o acesso seja concedido ou negado. O ACE negado pelo acesso do usuário deve aparecer primeiro; caso contrário, quando o sistema ler o ACE permitido pelo acesso do grupo, ele concederá acesso ao usuário restrito.

A ilustração a seguir mostra uma DACL que nega o acesso a um usuário e concede acesso a dois grupos. Os membros do Grupo A obtêm direitos de acesso Leitura, Gravação e Execução acumulando os direitos permitidos ao Grupo A e os direitos permitidos a Todos. A exceção é Andrew, que tem acesso negado pela ACE negada pelo acesso, apesar de ser membro do Grupo Todos.