Tại sao Windows xử lý tất cả các đối tượng con NTFS khi thay đổi ACL của cha mẹ?

10

Tôi sẽ mong đợi hành vi này nếu tôi đã kiểm tra hộp Thay thế tất cả các quyền đối tượng con ... Hộp, nhưng ngay cả khi hộp đó không được chọn, Windows sẽ xử lý tất cả các con.

windows ntfs

— Lõi
nguồn

@Ben Nó không được thực hiện bởi shell, bởi vì các quyền của quyền được kế thừa phải được sao chép cho tất cả các đối tượng con có kích hoạt kế thừa, do đó, nó phải được thực hiện ngay cả khi gọi trực tiếp API Windows. FYI: Quyền được nhân rộng vì lý do hiệu suất.

— Andreas

10

Trong Windows quyền truy cập không được kế thừa động. Đó là, khi một nỗ lực được thực hiện để mở một tệp, Windows chỉ nhìn vào ACL của tệp đó chứ không nhìn vào ACL của các thư mục trong cây chứa tệp. Điều đó có nghĩa là khi bạn thay đổi ACL của một thư mục, Windows phải cập nhật ngay lập tức các quyền của tất cả các tệp và thư mục con trong thư mục bị ảnh hưởng.

Trong Windows, cài đặt kế thừa trong ACL không biểu thị bất kỳ hình thức thừa kế động nào. Nó chỉ là một cờ để chỉ ra rằng khi ACL của thư mục mẹ được sửa đổi, tất cả các tệp và thư mục con trong cây có bộ cờ kế thừa cũng phải được cập nhật.

Những người trong chúng ta đủ tuổi để nhớ Novell NetWare sẽ nhớ đây là một trong những khác biệt lớn so với NetWare vì trong NetWare quyền thừa kế của các quyền là (là?). Có nhiều tranh luận tại thời điểm về cách tiếp cận nào tốt hơn, mặc dù lịch sử đã đưa ra vấn đề. ACL động yêu cầu HĐH kiểm tra ACL của mọi thư mục mẹ tại thời điểm thực hiện một nỗ lực để mở tệp, nhưng thay đổi ACL là nhanh chóng. Trong tệp mở Windows chỉ cần kiểm tra một ACL duy nhất, nhưng như bạn đã thấy, điều đó có nghĩa là việc thay đổi thư mục ACL có thể bị chậm.

— John Rennie
nguồn

1

Điều này làm cho ý nghĩa hoàn hảo. Các ACL được đọc nhiều hơn so với chúng được viết, do đó, nên lưu trữ "giá trị kế thừa" để truy cập đọc nhanh hơn, với chi phí phức tạp hơn trong trường hợp sử dụng ghi hiếm hơn.

— Alexander - Tái lập Monica

@Alexander: Điều tôi không hiểu là tại sao sự phức tạp này phải được tiếp xúc với người dùng cuối. Tại sao không nói dối và nói với người dùng cuối "nó năng động" nhưng lưu trữ nội bộ mọi thứ?

— Kevin

@Kevin - bởi vì có thể mất một thời gian để tuyên truyền quyền và trong khoảng thời gian đó, việc thực thi quyền có thể không xảy ra như bạn mong đợi?

— davidbak

13

Bất kỳ đối tượng con nào được cấu hình để kế thừa các quyền của nó từ đối tượng cha sẽ cần được xử lý. Các quyền được xác định rõ ràng trên các đối tượng con không bị ảnh hưởng.

Tùy chọn, quyền Thay thế trên tất cả các đối tượng con, không chỉ truyền quyền cho tất cả các đối tượng con mà còn loại bỏ và thay thế mọi quyền được xác định rõ ràng trên tất cả các đối tượng con.

— Táo bạo
nguồn

5

Theo mặc định, các thư mục con kế thừa quyền từ thư mục mẹ. Giả sử phạm vi mặc định khi bạn thêm / sửa đổi quyền trên thư mục mẹ (thư mục này, thư mục con và tệp) thì tất cả các thư mục con sẽ được cập nhật để phản ánh sự thay đổi quyền tại cha mẹ.

Hộp kiểm mà bạn đang đề cập là hoạt động "một lần" sẽ loại bỏ tất cả các quyền được xác định rõ ràng trên tất cả các thư mục con và thay thế chúng bằng các quyền kế thừa từ cha mẹ và sẽ kích hoạt lại quyền thừa kế trên các thư mục con.

— joeqwerty
nguồn