Was sind Windows-ACLs?

Ich habe auf dieser Wiki- Seite Folgendes gefunden .

Eine Zugriffssteuerungsliste (ACL) in Bezug auf ein Computerdateisystem ist eine Liste von Berechtigungen, die einem Objekt zugeordnet sind. Eine ACL gibt an, welchen Benutzern oder Systemprozessen Zugriff auf Objekte gewährt wird und welche Operationen für bestimmte Objekte zulässig sind. Jeder Eintrag in einer typischen ACL gibt einen Betreff und eine Operation an. Wenn eine Datei beispielsweise eine ACL enthält, die (Alice, delete) enthält, würde dies Alice die Berechtigung erteilen, die Datei zu löschen.

Um Ihre Frage zu beantworten: "Warum sind sie wichtig?" Wenn Sie noch nicht verstehen, wenn Sie sie noch nicht haben, gibt es keine Berechtigungen. So versteht Windows, wer über bestimmte Berechtigungen verfügt.

Sie können es so ansehen.

Jedes Objekt in NTFS hat eine serialisierte Nummer (einschließlich Benutzerkonten, Benutzergruppen, Prozessen, Geräten usw.). Die Zugriffssteuerungsliste verfolgt, welche serialisierte Nummer auf eine andere serialisierte Nummer zugreifen kann und welche Berechtigungen festgelegt sind. Stellen Sie sich vor, dass alles eine serialisierte Nummer hat, an die Berechtigungen geknüpft sind.

Wenn Sie einen Benutzer mit dem Namen FRED löschen, wird seine serialisierte Nummer gelöscht und aus der ACL entfernt. Die serialisierte Nummer von FRED ist praktisch nicht mehr mit anderen Geräten verknüpft, und die Berechtigungen, die er mit diesen Geräten hatte, werden ebenfalls entfernt.

Wenn Sie einen Benutzernamen FRED neu erstellen, wird ihm eine neue Seriennummer zugewiesen. Die ACL erkennt dies als neue Nummer. Daher werden keine Berechtigungen wiederhergestellt, die das gelöschte FRED-Konto hatte.

Ich hoffe, dies hilft zu konzeptualisieren, was die ACL ist, wie sie funktioniert und warum sie so wichtig ist.

Eine Zugriffssteuerungsliste (Access Control List, ACL) enthält null oder mehr Zugriffssteuerungseinträge (Access Control Entries, ACEs). Viele verschiedene Objekte in Windows können über Zugriffssteuerungslisten verfügen, z. B. Dateien, Geräte, Drucker, Registrierungseinträge und andere Elemente. ( Sehen Sie sich WinObj von SysInternal an, wenn Sie einen Überblick über die verschiedenen Objekttypen im Windows-Namespace erhalten möchten - viele davon sind intern in Windows und nicht direkt für den Benutzer verfügbar.)

Ein ACE besteht aus

• Ein Haupt . Normalerweise ist dies entweder ein Benutzer oder eine Gruppe. Dies kann ein Benutzer, eine Gruppe oder ein Computer in einer Active Directory-Datenbank auf einem Domänencontroller oder ein lokaler Benutzer sein. Es gibt "virtuelle" Gruppen wie "Jeder" und "Authentifizierte Benutzer".

und

• Eine oder mehrere Funktionen, jede Funktion kann auf Zulassen oder Ablehnen gesetzt werden. Einige Beispiele für Fähigkeiten sind "Lesen", "Schreiben", "Inhalt auflisten" usw. Ablehnung hat Vorrang vor Zulassen. Die meisten Objekte wie Dateien usw. erlauben keinen Zugriff oder Änderungen, es sei denn, es gibt eine bestimmte Zugriffssteuerungsliste "Zulassen". Deny sollte daher nur unter besonderen Umständen verwendet werden.

ACLs können vererbt werden, dh Dateien in untergeordneten Verzeichnissen können ACLs von übergeordneten Verzeichnissen erben.

Sie sind wichtig, da Windows Berechtigungen für Prozesse gewährt und erzwingt. Jeder Prozess wird als Benutzer ausgeführt. Wenn dieser Benutzer einen oder mehrere ACEs "unterdrückt", werden alle von Windows aufgelöst, um herauszufinden, ob eine bestimmte Aktion zulässig ist oder nicht.