DACLs и ACE
Если у объекта Windows нет списка управления доступом на уровне пользователей (DACL), система предоставляет всем пользователям полный доступ к нему. Если у объекта есть DACL, система разрешает доступ только к тем, которые явно разрешены записями управления доступом (ACE) в DACL. Если в списке УПРАВЛЕНИЯ доступом нет, система не разрешает доступ никому. Аналогичным образом, если dacl имеет ACE, которые разрешают доступ к ограниченному набору пользователей или групп, система неявно запрещает доступ всем доверенным лицам, не включенным в ACE.
В большинстве случаев вы можете управлять доступом к объекту с помощью ACE, разрешенных для доступа; Вам не нужно явно запрещать доступ к объекту. Исключением является то, что ACE разрешает доступ к группе и вы хотите запретить доступ к участнику группы. Для этого поместите ACE с отказом в доступе для пользователя в DACL перед разрешенным доступом ACE для группы. Обратите внимание, что порядок ACE важен, так как система считывает ACE последовательно до тех пор, пока доступ не будет предоставлен или запрещен. Сначала должен появиться элемент управления доступом пользователя; В противном случае, когда система считывает разрешенный доступ ACE группы, она предоставит доступ пользователю с ограниченным доступом.
На следующем рисунке показан dacl, который запрещает доступ одному пользователю и предоставляет доступ к двум группам. Члены группы А получают права доступа на чтение, запись и выполнение путем накопления прав, разрешенных для группы А, и прав, разрешенных для всех. Исключением является Эндрю, которому ACE отказал в доступе, несмотря на то, что он является членом группы "Все".