Windows ACL là gì?

Windows ACL là gì và tại sao chúng quan trọng?

Tôi tìm thấy sau đây tại trang wiki này.

Danh sách kiểm soát truy cập (ACL), liên quan đến hệ thống tệp máy tính, là danh sách các quyền được đính kèm với một đối tượng. ACL chỉ định người dùng hoặc quy trình hệ thống nào được cấp quyền truy cập vào các đối tượng, cũng như những hoạt động nào được phép trên các đối tượng nhất định. Mỗi mục trong một ACL điển hình chỉ định một chủ đề và thao tác. Chẳng hạn, nếu một tệp có ACL chứa (Alice, xóa), điều này sẽ cho phép Alice xóa tệp.

Để trả lời câu hỏi của bạn về "tại sao chúng quan trọng?" nếu bạn chưa hiểu, nếu bạn không có chúng, quyền sẽ không tồn tại. Đây là cách Windows hiểu ai có đặc quyền nhất định.

Bạn có thể nhìn vào nó như thế này.

Mọi đối tượng trên NTFS đều có số sê-ri (bao gồm tài khoản người dùng, nhóm người dùng, quy trình, thiết bị, v.v.). Danh sách điều khiển truy cập theo dõi số nào được xê-ri hóa có thể truy cập vào một số sê-ri khác và những quyền nào được đặt. Chỉ cần nghĩ về tất cả mọi thứ có một số sê-ri, với các quyền được đính kèm với chúng.

Nếu bạn xóa người dùng có tên FRED, số sê-ri của anh ta sẽ bị xóa và xóa khỏi ACL. Thực tế, số sê-ri của FRED không còn được liên kết với các thiết bị khác và các quyền mà anh ta có với các thiết bị đó cũng bị xóa.

Nếu bạn tạo lại tên người dùng FRED, anh ta sẽ được gán một số sê-ri mới. ACL sẽ nhận ra đây là một số mới. Do đó, nó sẽ không thiết lập lại bất kỳ quyền nào mà tài khoản FRED đã xóa có.

Hy vọng điều này sẽ giúp khái niệm hóa ACL là gì, hoạt động như thế nào và tại sao nó quan trọng.

Danh sách điều khiển truy cập (ACL) có 0 hoặc nhiều mục nhập kiểm soát truy cập (ACE). Nhiều đối tượng khác nhau trong Windows có thể có ACL, chẳng hạn như tệp, thiết bị, máy in, mục đăng ký và những thứ khác. (Hãy xem WinObj của SysI Internalal nếu bạn muốn có cái nhìn tổng quan về tất cả các loại đối tượng khác nhau trong "không gian tên" của Windows - nhiều thứ nằm trong Windows và không được tiếp xúc trực tiếp với người dùng)

Một ACE bao gồm

• Một hiệu trưởng . Thông thường đây là một người dùng hoặc một nhóm. Nó có thể là người dùng, nhóm hoặc máy tính trong cơ sở dữ liệu Active Directory trên bộ điều khiển miền hoặc người dùng cục bộ. Có các nhóm "ảo" như "Mọi người" và "Người dùng được xác thực".

và

• Một hoặc nhiều capoverites, mỗi khả năng có thể được đặt thành Cho phép hoặc Từ chối. Một số ví dụ về capoverites là "Đọc", "Viết", "Nội dung danh sách", v.v ... Từ chối có quyền ưu tiên hơn Cho phép. Hầu hết các đối tượng như tệp, v.v. sẽ không cho phép truy cập hoặc thay đổi trừ khi có sẵn ACL "Cho phép"; do đó Deny chỉ nên được sử dụng trong những trường hợp đặc biệt.

ACL có thể được kế thừa, tức là các tệp trong thư mục cấp thấp hơn có thể kế thừa ACL từ các thư mục cấp cao hơn.

Chúng rất quan trọng vì đây là cách Windows cung cấp và thực thi các đặc quyền cho các quy trình. Mỗi quy trình chạy như một người dùng và nếu người dùng đó "thuộc" một hoặc nhiều ACE thì Windows sẽ giải quyết tất cả để tìm hiểu xem một hành động cụ thể có được phép hay không.