存取控制清單
存取控制清單 (ACL) 是存取控制項目 (ACE) 的清單。 ACL 中的每個 ACE 可識別「信任者」(Trustee),並指定該信任者所允許、拒絕或稽核的「存取權限」(Access Right)。 安全性實體物件的安全性描述項可以包含兩種類型的ACL:DACL和SACL。
DACL) (選擇性存取控制清單會識別允許或拒絕存取安全性實體物件的信任者。 當 進程 嘗試存取安全性實體物件時,系統會檢查物件 DACL 中的 ACE,以判斷是否要授與其存取權。 如果物件沒有 DACL,系統會授與所有人的完整存取權。 如果物件的 DACL 沒有 ACE,系統就會拒絕所有嘗試存取物件,因為 DACL 不允許任何存取權限。 系統會依序檢查 ACE,直到找到允許所有要求存取權限的一或多個 ACE,或直到任何要求的存取權限遭到拒絕為止。 如需詳細資訊,請參閱 DACL 如何控制物件的存取。 如需如何正確建立 DACL 的資訊,請參閱 建立 DACL。
系統存取控制清單 (SACL) 可讓系統管理員記錄嘗試存取安全物件。 每個 ACE 都會指定指定信任項的存取嘗試類型,讓系統在安全性事件記錄檔中產生記錄。 SACL 中的 ACE 可以在存取嘗試失敗、成功或兩者時產生稽核記錄。 如需 SCL 的詳細資訊,請參閱 稽核產生 和 SACL 存取權限。
請勿嘗試直接使用 ACL 的內容。 若要確保 ACL 語意正確,請使用適當的函式來建立及操作 ACL。 如需詳細資訊,請參閱 從 ACL 取得資訊 和 建立或修改 ACL。
ACL 也會提供 Microsoft Active Directory 服務物件的存取控制。 ACTIVE Directory 服務介面 (ADSI) 包含用來建立和修改這些 ACL 內容的常式。 如需詳細資訊,請參閱在 Active Directory 網域服務 中控制物件存取。