访问控制列表

ACL) (访问控制列表 是 ACE) (访问控制条目 的列表。 ACL 中的每个 ACE 标识一个受信者,并指定该受信者允许、拒绝或审核的访问权限安全对象的安全描述符可以包含两种类型的 ACL:DACL 和 SACL。

(DACL 的可自由访问控制列表) 标识允许或拒绝访问安全对象的受托人。 当 进程 尝试访问安全对象时,系统会检查对象的 DACL 中的 ACE,以确定是否向其授予访问权限。 如果对象没有 DACL,则系统将授予对所有人的完全访问权限。 如果对象的 DACL 没有 ACE,则系统拒绝所有尝试访问该对象,因为 DACL 不允许任何访问权限。 系统按顺序检查 ACE,直到找到允许所有请求访问权限的一个或多个 ACE,或者直到任何请求的访问权限被拒绝为止。 有关详细信息,请参阅 DACLs 如何控制对对象的访问。 有关如何正确创建 DACL 的信息,请参阅 创建 DACL

系统 访问控制列表 (SACL) 使管理员能够记录访问安全对象的尝试。 每个 ACE 指定指定的受托人尝试的访问尝试类型,该尝试导致系统在安全事件日志中生成记录。 SACL 中的 ACE 可以在访问尝试失败、成功或同时生成审核记录。 有关 SCL 的详细信息,请参阅 审核生成SACL 访问权限

请勿尝试直接处理 ACL 的内容。 若要确保 ACL 在语义上正确,请使用相应的函数来创建和操作 ACL。 有关详细信息,请参阅 从 ACL 获取信息创建或修改 ACL

ACL 还提供对 Microsoft Active Directory 目录服务对象的访问控制。 Active Directory 服务接口 (ADSI) 包括用于创建和修改这些 ACL 内容的例程。 有关详细信息,请参阅 控制对 Active Directory 对象的访问