Для каждого защищаемого объекта есть два списка ACL.
DACL - указывает пользователей или группы к которым разрешен доступ к объектам.
SACL - указывает условия при которых генерируется события безопасности.
Устроены они одинаково. Сначала структура ACL за которой идут структуру ACE. При организации DACL важен порядок. Эапрещающие структуры должны идти перед разрешающими.