什么是 Windows ACL？

Question

什么是 Windows ACL，为什么它们很重要？

Answer 1

我在这个wiki页面上找到了以下内容。

与计算机文件系统相关的访问控制列表 (ACL) 是附加到对象的权限列表。ACL 指定哪些用户或系统进程被授予访问对象的权限，以及允许对给定对象进行哪些操作。典型 ACL 中的每个条目指定一个主题和一个操作。例如，如果文件的 ACL 包含 (Alice, delete)，这将授予 Alice 删除文件的权限。

回答您关于“为什么它们很重要？”的问题。如果你还不明白，如果你没有它们，权限就不会存在。这就是 Windows 了解谁拥有某些特权的方式。

Answer 2

访问控制列表 (ACL) 具有零个或多个访问控制条目 (ACE)。Windows 中的许多不同对象都可以具有 ACL，例如文件、设备、打印机、注册表项等。（如果您想了解 Windows“命名空间”中所有不同类型的对象的概述，请查看SysInternal 的 WinObj - 许多对象是 Windows 内部的，不直接暴露给用户）

ACE 包括

• 一个校长。通常这是一个用户或一个组。它可以是域控制器上 Active Directory 数据库中的用户、组或计算机，也可以是本地用户。有“虚拟”组，例如“每个人”和“经过身份验证的用户”。

和

• 一项或多项功能，每个功能都可以设置为允许或拒绝。功能的一些示例是“读取”、“写入”、“列出内容”等。拒绝优先于允许。大多数对象（例如文件等）将不允许访问或更改，除非有特定的“允许”ACL 可用；因此 Deny 仅应在特殊情况下使用。

ACL可以继承，即下级目录中的文件可以继承上级目录的ACL。

它们很重要，因为这是 Windows 向进程授予和强制执行特权的方式。每个进程都以用户身份运行，如果该用户“属于”一个或多个 ACE，则 Windows 会解析所有这些 ACE，以确定是否允许执行特定操作。