Вы должны использовать оба. В AD вы устанавливаете группы пользователей и назначаете специальное разрешение для групп.
Вы должны иметь в виду, что пользователи приходят и уходят, но группы могут оставаться определенно
Я работал над этим проектом 8 лет назад.
- Интерфейс записывал все в базу данных (MS-SQL)
- Служба Windows запрашивала таблицу Status , в которой сообщалось о действиях БД
- Служба Windows применяла ACL в соответствии с Status refs
Мы были в среде Windows Server, я использовал CMD (MS DOS ICACLS )
В .Net или Powershell или MS DOS вы можете применять ACL
Некоторые ресурсы
CACLS до ICACLS, который кажется более сложным
Иллюстрации в Windows, где вы можете увидеть сделанные вами изменения
Этот другой ответ может помочь вам