DACLs et AAC
Si un objet Windows n’a pas de liste de contrôle d’accès discrétionnaire (DACL), le système autorise tout le monde à y accéder. Si un objet a une liste dacl, le système autorise uniquement l’accès explicitement autorisé par les entrées de contrôle d’accès (ACA) dans la liste de contrôle d’accès. S’il n’y a pas d’AIC dans la liste de contrôle d’accès, le système n’autorise pas l’accès à quiconque. De même, si une liste de contrôle d’accès d’accès d’une liste de contrôle d’accès autorise l’accès à un ensemble limité d’utilisateurs ou de groupes, le système refuse implicitement l’accès à tous les administrateurs qui ne sont pas inclus dans les ACA.
Dans la plupart des cas, vous pouvez contrôler l’accès à un objet à l’aide des AE avec accès autorisé ; vous n’avez pas besoin de refuser explicitement l’accès à un objet. L’exception est quand un ACE autorise l’accès à un groupe et que vous souhaitez refuser l’accès à un membre du groupe. Pour ce faire, placez un ACE d’accès refusé pour l’utilisateur dans la liste de contrôle d’accès avant l’ACE autorisé pour le groupe. Notez que l’ordre des ACÉ est important, car le système lit les ACÉ dans l’ordre jusqu’à ce que l’accès soit accordé ou refusé. L’ACE de l’utilisateur qui a refusé l’accès doit apparaître en premier ; sinon, lorsque le système lit l’accès ace autorisé du groupe, il accorde l’accès à l’utilisateur restreint.
L’illustration suivante montre une liste dacl qui refuse l’accès à un utilisateur et accorde l’accès à deux groupes. Les membres du groupe A obtiennent des droits d’accès en lecture, écriture et exécution en cumulant les droits autorisés au groupe A et les droits autorisés à tout le monde. L’exception est Andrew, qui se voit refuser l’accès par l’ACE bien qu’il soit membre du groupe Tout le monde.