Windows ortamında bir dosyaya erişimi kısıtlayarak dosyaya gerçekleştirilebilecek erişilerin önüne geçilebilir. Örneğin, etki alanındaki bir dosya sunucudaki kritik doküanlara Finans Yönetimi personelinin erişimesi Domain Admins grubundaki personel dahil her kullanıcının erişim sağlanması engellenmek istenebilir. Bu işlem için ACL tanımlanabilir. Ancak bu kısıtlama yerel yönetici olunmuş ise atlatılabilir. Yani bir nesne üzerinde herhangi bir DACL bulunmasa bile, nesnenin sahibi olan kullanıcılar nesne üzerinde, dosyanın o anki sahibini değiştirme hakkı da dahil olmak üzere, her türlü değişikliği yapma hakkı vardır.
Windows kurulduğunda varsayılan olarak gelen Administrator kullanıcısının nesne sahipliği ile ilgili özel bir durumu vardır. Varsayılan olarak Administrator kullanıcısı tüm nesnelerin sahibi olarak Windows tarafından tanımlanmıştır ve istediği zaman istediği nesne üzerinde değişiklik yapma hakkına sahiptir. Bu nesne sahipliği başka bir kullanıcıya verilmiş dahi olsa, Administrator kullanıcısının tüm nesnelerin sahipliğini üzerine alabilme ayrıcalığına sahiptir ve bu nedenden dolayı da Administrator kullanıcısının korunması güvenlik açısından özel bir öneme sahiptir.
Creator Owner grubu bir nesnenin sahibi olan kullanıcılara verilecek hakları tanımlamakta kullanılabilecek jenerik bir gruptur. Creator Owner grubuna verilecek izinler ile yeni oluşturulacak bir klasör veya dosya üzerinde nesne sahibinin gerçekleştirebileceği izinler nesne oluşturulmadan da belirlenebilir.
Kaynak:
https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php