DACLs und ACEs
Wenn ein Windows-Objekt nicht über eine DACL (Discretionary Access Control List) verfügt, lässt das System jedem Vollzugriff zu. Wenn ein Objekt über eine DACL verfügt, lässt das System nur den Zugriff zu, der explizit von den Zugriffssteuerungseinträgen (ACEs) in der DACL zugelassen wird. Wenn in der DACL keine ACEs vorhanden sind, lässt das System keinen Zugriff auf personen zu. Wenn eine DACL über ACEs verfügt, die den Zugriff auf eine begrenzte Gruppe von Benutzern oder Gruppen ermöglichen, verweigert das System implizit den Zugriff auf alle Vertrauensnehmer, die nicht in den ACEs enthalten sind.
In den meisten Fällen können Sie den Zugriff auf ein Objekt mit zugriffszugelassenen ACEs steuern. Sie müssen den Zugriff auf ein Objekt nicht explizit verweigern. Die Ausnahme ist, wenn ein ACE den Zugriff auf eine Gruppe zulässt und Sie den Zugriff auf ein Mitglied der Gruppe verweigern möchten. Platzieren Sie zu diesem Zwecke einen ACE mit Zugriffsverweigerung für den Benutzer in der DACL vor dem Zugriffsberechtigungs-ACE für die Gruppe. Beachten Sie, dass die Reihenfolge der ACEs wichtig ist, da das System die ACEs nacheinander liest, bis der Zugriff gewährt oder verweigert wird. Der ACE "Zugriff verweigert" des Benutzers muss zuerst angezeigt werden. Andernfalls gewährt das System dem eingeschränkten Benutzer Zugriff, wenn es den zulässigen ACE der Gruppe liest.
Die folgende Abbildung zeigt eine DACL, die den Zugriff auf einen Benutzer verweigert und zwei Gruppen Zugriff gewährt. Die Mitglieder von Gruppe A erhalten Lese-, Schreib- und Ausführungszugriffsrechte, indem sie die für Gruppe A zulässigen Rechte und die für "Jeder" zulässigen Rechte sammeln. Die Ausnahme ist Andrew, dem der Zugriff durch den ACE "Zugriff verweigert" verweigert wird, obwohl er Mitglied der Gruppe Jeder ist.
