访问控制列表
访问控制列表 (ACL) 是访问控制条目 (ACE) 的列表。 ACL 中的每个 ACE 标识一个受信者,并指定该受信者允许、拒绝或审核的访问权限。 安全对象的安全描述符可以包含两种类型的 ACL:DACL 和 SACL。
DACL) (自由访问控制列表 标识允许或拒绝访问安全对象的受信人。 当 进程 尝试访问安全对象时,系统会检查对象的 DACL 中的 ACE,以确定是否向其授予访问权限。 如果对象没有 DACL,则系统会向所有人授予完全访问权限。 如果对象的 DACL 没有 ACE,系统将拒绝所有访问该对象的尝试,因为 DACL 不允许任何访问权限。 系统按顺序检查 ACE,直到找到允许所有请求的访问权限的一个或多个 ACE,或者直到拒绝任何请求的访问权限。 有关详细信息,请参阅 DACL 如何控制对对象的访问。 有关如何正确创建 DACL 的信息,请参阅 创建 DACL。
SACL) (系统访问控制列表 允许管理员记录访问受保护对象的尝试。 每个 ACE 指定指定的受信者尝试的访问类型,这些尝试导致系统在安全事件日志中生成记录。 SACL 中的 ACE 可以在访问尝试失败时、成功时或同时生成审核记录。 有关 SCL 的详细信息,请参阅 审核生成 和 SACL 访问权限。
不要尝试直接使用 ACL 的内容。 若要确保 ACL 在语义上正确,请使用适当的函数来创建和操作 ACL。 有关详细信息,请参阅 从 ACL 获取信息 和 创建或修改 ACL。
ACL 还提供对 Microsoft Active Directory 服务对象的访问控制。 Active Directory 服务接口 (ADSI) 包括用于创建和修改这些 ACL 内容的例程。 有关详细信息,请参阅控制 Active Directory 域服务 中的对象访问。