访问控制列表(ACL)包含控制对对象的访问或控制对访问对象的尝试的审核的信息。ACL是一个不透明的结构,可以附加到对象的安全描述符。
ACL以ACL结构的形式开头。标题包含与整个ACL相关的信息,包括结构的修订级别,ACL的大小(以字节为单位)以及列表中的访问控制条目数(ACE)。要检索此信息,可以使用GetAclInformation功能。要更改修订级别,可以使用SetAclInformation功能。
遵循ACL标头是【访问控制条目】(ACE)的列表。每个ACE指定一个受托人,一组访问权限,以及一组标志,指示受托人是否允许,拒绝或审核权限。受托人可以是Windows NT服务等程序的用户帐户,组帐户或登录帐户。
安全描述符使用访问控制列表来允许,拒绝或审核访问安全描述符所附加对象的尝试。安全描述符可以包含两种类型的ACL:自由ACL(DACL)和系统ACL(SACL)。
在DACL中,每个ACE指定对指定受信任者允许或拒绝的访问类型。对象的所有者控制对象的DACL中的信息。例如,文件的所有者可以使用DACL来控制哪些用户可以访问该文件,哪些用户被拒绝访问。
如果对象的安全描述符没有DACL,对象不受保护,并且系统允许所有尝试访问该对象。但是,如果对象具有不包含ACE的DACL,则DACL不会授予任何访问权.在这种情况下,系统将拒绝所有访问对象的尝试。有关设置对象的DACL的信息,请参阅允许访问.
在SACL中,每个ACE指定由系统在系统事件日志中生成审计记录的指定受托人进行的访问尝试的类型。系统管理员控制对象的SACL中的信息。SACL中的ACE可以在访问尝试失败,成功时或两者都生成审核记录。在未来的版本中,当未经授权的用户尝试访问对象时,SACL还可以提高警报。
