Co to są listy ACL systemu Windows?

10

Co to są listy ACL systemu Windows i dlaczego są ważne?

użytkownik1413
źródło
4
Strona główna Windows ACL . Możesz dodać dodatkowe pytania do swojego pytania, w przeciwnym razie ludzie go zamkną i otrzymasz linki do dokumentacji MSDN i Wikipedii.
JYelton,

Odpowiedzi:

9

Na tej stronie wiki znalazłem następujące informacje .

Lista kontroli dostępu (ACL), w odniesieniu do komputerowego systemu plików, jest listą uprawnień dołączonych do obiektu. Lista ACL określa, którzy użytkownicy lub procesy systemowe mają dostęp do obiektów, a także jakie operacje są dozwolone na danych obiektach. Każdy wpis w typowej liście ACL określa temat i operację. Na przykład, jeśli plik ma listę ACL zawierającą (Alice, usuń), dałoby to Alicji pozwolenie na usunięcie pliku.

Aby odpowiedzieć na pytanie dotyczące „dlaczego są one ważne?” jeśli jeszcze tego nie rozumiesz, jeśli ich nie masz, uprawnienia nie istnieją. W ten sposób system Windows rozumie, kto ma określone uprawnienia.

David
źródło
2

Możesz na to spojrzeć w ten sposób.

Każdy obiekt w NTFS ma numer seryjny (w tym konta użytkowników, grupy użytkowników, procesy, urządzenia itp.). Lista kontroli dostępu śledzi, który numer seryjny może uzyskać dostęp do innego numeru seryjnego oraz jakie uprawnienia są ustawione. Pomyśl tylko o tym, że wszystko ma numer seryjny z dołączonymi uprawnieniami.

Jeśli usuniesz użytkownika o nazwie FRED, jego numer seryjny zostanie usunięty i zostanie usunięty z listy ACL. W efekcie numer seryjny FRED nie jest już powiązany z innymi urządzeniami, a uprawnienia, które miał na tych urządzeniach, są również usuwane.

Jeśli ponownie utworzysz nazwę użytkownika FRED, zostanie mu przypisany nowy numer seryjny. ACL rozpozna to jako nowy numer. Dlatego nie przywróci żadnych uprawnień, które posiadało usunięte konto FRED.

Mam nadzieję, że pomoże to zorientować się, czym jest ACL, jak działa i dlaczego jest ważna.

Mikrofon
źródło
2

Lista kontroli dostępu (ACL) ma zero lub więcej pozycji kontroli dostępu (ACE). Wiele różnych obiektów w systemie Windows może mieć listy ACL, takie jak pliki, urządzenia, drukarki, wpisy rejestru i inne rzeczy. (Sprawdź WinObj SysInternal, jeśli chcesz uzyskać przegląd wszystkich różnych typów obiektów w „przestrzeni nazw” systemu Windows - wiele z nich jest wewnętrznych dla systemu Windows i nie jest bezpośrednio narażonych na działanie użytkownika)

ACE składa się z

  • Główny . Zwykle jest to użytkownik lub grupa. Może to być użytkownik, grupa lub komputer w bazie danych Active Directory na kontrolerze domeny lub użytkownik lokalny. Istnieją „wirtualne” grupy, takie jak „Wszyscy” i „Uwierzytelnieni użytkownicy”.

i

  • Co najmniej jedna zdolność, każda funkcja może być ustawiona na Zezwól lub Odmów. Niektóre przykłady możliwości to „Odczyt”, „Zapis”, „Zawartość listy” itp. Odmów ma pierwszeństwo przed Zezwalaj. Większość obiektów, takich jak pliki itp., Nie zezwala na dostęp ani zmiany, chyba że dostępna jest konkretna lista „Zezwalaj”; dlatego odmowy należy używać tylko w szczególnych okolicznościach.

Listy ACL mogą być dziedziczone, tzn. Pliki w katalogach niższego poziomu mogą dziedziczyć listy ACL z katalogów wyższego poziomu.

Są ważne, ponieważ w ten sposób system Windows nadaje i egzekwuje uprawnienia do procesów. Każdy proces działa jako użytkownik, a jeśli ten użytkownik „mieści się” w co najmniej jednym wpisie ACE, system Windows rozpoznaje wszystkie z nich, aby dowiedzieć się, czy określone działanie jest dozwolone.

LawrenceC
źródło