Bir Security Descriptor, her obje için yetki atama ve obje üzerinde yapılan işlemleri izlemek için iki Access Control Listesi (ACL) içerir: Discretionary Access Control List (DACL) ve System Access Control List (SACL).
Discretionary Access Control List (DACL): Bir obje (örn dosya,klasör…) üzerinde tanımlanmış kullanıcı veya grupların yetkilerini belirler. Eğer obje üzerindeki DACL, bir kullanıcı veya grup içermiyorsa bu durumda o kullanıcı veya grup objeye erişmek istediğinde deny alacaktır demektir. Aynı şekilde bir kullanıcı için obje üzerindeki DACL de deny tanımlı ise kullanıcı yine deny alacaktır.
Varsayılan olarak DACL, objeyi kim oluşturmuş ise onun tarafından kontrol edilir.(kullanıcı,grup, system account…vs. kim oluşturmuş ise onun tarafından kontrol edilir.) Ve Access Control Entries (ACE) içerir.
System Access Control List (SACL): Audit etmek istediğiniz kullanıcı veya grupları ve hangi seviyede audit etmek istediğiniz bilgisini içerir. Yine varsayılan olarak nesnenin sahibi tarafından kontrol edilir. Aynı şekilde SACL de, Access Control Entry (ACE) leri içerir.
Emre BAŞTUĞ