DACL 和 ACE
如果 Windows 物件沒有 daCL) (任意存取控制清單 ,系統就會允許所有人完整存取它。 如果物件具有 DACL,則系統只允許 DACL 中 (ACE 明確允許的存取權) 。 如果 DACL 中沒有 ACE,則系統不允許存取任何人。 同樣地,如果 DACL 具有允許存取一組有限使用者或群組的 ACE,則系統會隱含拒絕存取未包含在 ACE 中的所有信任項。
在大部分情況下,您可以使用允許存取的 ACE 來控制對物件的存取;您不需要明確拒絕對物件的存取。 例外狀況是當 ACE 允許存取群組,而您想要拒絕存取群組的成員時。 若要這樣做,請在群組的存取允許 ACE 之前,在 DACL 中為使用者放置拒絕存取的 ACE。 請注意, ACE 的順序 很重要,因為系統會依序讀取 ACE,直到授與或拒絕存取為止。 使用者拒絕存取的 ACE 必須先出現;否則,當系統讀取群組的存取權允許的 ACE 時,它會將存取權授與受限制的使用者。
下圖顯示一個 DACL,拒絕存取一位使用者,並授與兩個群組的存取權。 群組 A 的成員藉由累積群組 A 所允許的許可權,以及允許所有人的許可權,來取得讀取、寫入和執行存取權限。 例外狀況是 Andrew,因為存取遭拒絕的 ACE 拒絕存取,但成為所有人群組的成員。