оступ до службам об'єкта. В DACL існує стільки записів контролю доступу, скільки існує облікових записів користувачів або груп, для яких доступ до об'єкта був заданий спеціально;
• System Acess Control List - SACL також містить записи управління доступом (АСЕ, access control entry ), але ці записи АСЕ використовуються для аудиту, а не для дозволу або заборони доступу до функцій об'єкта. SACL містить стільки записів АСЕ, скільки існує облікових записів користувачів або груп, для яких спеціально проводиться аудит.
Кожен запис управління доступом в DACL або SACL складається з ідентифікатора безпеки, супроводжуваного маскою доступу. Маска доступу ( access mask ) в DACL визначає ті функції об'єкта, для доступу до яким у SID є дозвіл. Спеціальний тип запису контролю доступу, званий забороняє записом АСЕ ( deny АСЕ), вказує, що весь доступ до об'єкту буде заборонений для облікового запису, певної ідентифікатором SID . Забороняє АСŠ​​перекриває всі інші записи АСЕ. Дозвіл No Access (немає доступу) в Windows 2000 реалізовано за допомогою забороняє за-писи АСЕ.
Доступ дозволено, якщо токен доступу містить будь SID , що співпадає з роздільною здатністю в DACL . Наприклад, якщо окремої облікового запису дозволений доступ на читання і обліковий запис користувача є членом груповий облікового запису, якій дозволено доступ на запис, тоді токен доступу для цього увійшов в систему користувача буде містити обидва SID , і DACL дозволить доступ до об'єкта і на читання, і на запис. Заборонні запису керування доступом все одно перекривають сумарна дія всіх інших дозволів.
Записи управління доступом в SACL утворюються тим же способом, що і записи в DACL (вони складаються з SID і маски доступу), але маска доступу в цьому випадку визначає ті функції об'єкта, для яких проводитиметься аудит у цього облікового запису.
Не в кожного об'єкта є списки DACL або SACL . Файлова система FAT , наприклад, не записує інформацію безпеки, тому у об'єктів файлів і каталогів, що зберігаються на томі FAT , немає списків DACL і SACL . Коли <...
