ACL y ACE

Si un objeto de Windows no tiene una lista de control de acceso discrecional (DACL), el sistema permite que todos los usuarios tengan acceso total a él. Si un objeto tiene una DACL, el sistema solo permite el acceso permitido explícitamente por las entradas de control de acceso (ACE) en la DACL. Si no hay ACE en la DACL, el sistema no permite el acceso a nadie. De forma similar, si una DACL tiene ACE que permiten el acceso a un conjunto limitado de usuarios o grupos, el sistema deniega implícitamente el acceso a todos los administradores no incluidos en los ACE.

En la mayoría de los casos, puede controlar el acceso a un objeto mediante ace permitidas por el acceso; no es necesario denegar explícitamente el acceso a un objeto . La excepción es cuando una ACE permite el acceso a un grupo y desea denegar el acceso a un miembro del grupo. Para ello, coloque una ACE de acceso denegada para el usuario en la DACL delante de la ACE permitida por el acceso para el grupo. Tenga en cuenta que el orden de las ACE es importante porque el sistema lee los ACE en secuencia hasta que se concede o se deniega el acceso. La ACE de acceso denegado del usuario debe aparecer primero; de lo contrario, cuando el sistema lee la ACE de acceso permitido del grupo, concederá acceso al usuario restringido.

En la ilustración siguiente se muestra una DACL que deniega el acceso a un usuario y concede acceso a dos grupos. Los miembros del grupo A obtienen derechos de acceso de lectura, escritura y ejecución acumulando los derechos permitidos en el grupo A y los derechos permitidos a Todos. La excepción es Andrew, a quien se le deniega el acceso por la ACE de acceso denegado, a pesar de ser miembro del Grupo Todos.