Was sind Windows-ACLs?

Was sind Windows-ACLs und warum sind sie wichtig?

Ich habe folgendes auf dieser Wiki- Seite gefunden.

Eine Zugriffssteuerungsliste (Access Control List, ACL) in Bezug auf ein Computerdateisystem ist eine Liste von Berechtigungen, die an ein Objekt angehängt sind. Eine ACL gibt an, welchen Benutzern oder Systemprozessen Zugriff auf Objekte gewährt wird und welche Vorgänge für bestimmte Objekte zulässig sind. Jeder Eintrag in einer typischen ACL gibt einen Betreff und eine Operation an. Wenn eine Datei beispielsweise eine ACL enthält, die enthält (Alice, Löschen), würde Alice die Berechtigung zum Löschen der Datei erteilen.

Um Ihre Frage zu beantworten: "Warum sind sie wichtig?" Wenn Sie es noch nicht verstehen, wenn Sie es nicht haben, gibt es keine Berechtigungen. So versteht Windows, wer über bestimmte Berechtigungen verfügt.

Sie können es so betrachten.

Jedes Objekt in NTFS hat eine serialisierte Nummer (einschließlich Benutzerkonten, Benutzergruppen, Prozessen, Geräten usw.). In der Zugriffssteuerungsliste wird aufgezeichnet, welche Seriennummer auf eine andere Seriennummer zugreifen kann und welche Berechtigungen festgelegt sind. Stellen Sie sich alles vor, das eine Seriennummer mit Berechtigungen hat.

Wenn Sie einen Benutzer mit dem Namen FRED löschen, wird seine Seriennummer gelöscht und aus der ACL entfernt. Tatsächlich ist die Seriennummer von FRED nicht mehr mit anderen Geräten verknüpft, und die Berechtigungen, die er für diese Geräte hatte, werden ebenfalls entfernt.

Wenn Sie einen Benutzernamen FRED neu erstellen, wird ihm eine neue Seriennummer zugewiesen. Die ACL erkennt dies als neue Nummer. Daher werden keine Berechtigungen wiederhergestellt, die das gelöschte FRED-Konto hatte.

Ich hoffe, dies hilft bei der Konzeption, was die ACL ist, wie sie funktioniert und warum sie wichtig ist.

Eine Zugriffssteuerungsliste (Access Control List, ACL) enthält null oder mehr Zugriffssteuerungseinträge (Access Control Entries, ACEs). Viele verschiedene Objekte in Windows können ACLs enthalten, z. B. Dateien, Geräte, Drucker, Registrierungseinträge und andere Dinge. (Schauen Sie sich WinObj von SysInternal an, wenn Sie einen Überblick über alle verschiedenen Objekttypen im Windows-Namespace erhalten möchten. Viele sind Windows-intern und nicht direkt für den Benutzer verfügbar.)

Ein ACE besteht aus

• Ein Auftraggeber . Normalerweise ist dies entweder ein Benutzer oder eine Gruppe. Dies kann ein Benutzer, eine Gruppe oder ein Computer in einer Active Directory-Datenbank auf einem Domänencontroller oder ein lokaler Benutzer sein. Es gibt "virtuelle" Gruppen wie "Jeder" und "Authentifizierte Benutzer".

und

• Eine oder mehrere Funktionen, jede Funktion kann auf Zulassen oder Verweigern eingestellt werden. Einige Beispiele für Funktionen sind "Lesen", "Schreiben", "Inhalt auflisten" usw. Verweigern hat Vorrang vor Zulassen. Die meisten Objekte wie Dateien usw. erlauben keinen Zugriff oder keine Änderungen, es sei denn, es ist eine bestimmte ACL "Zulassen" verfügbar. Daher sollte Verweigern nur unter besonderen Umständen verwendet werden.

ACLs können vererbt werden, dh Dateien in Verzeichnissen niedrigerer Ebene können ACLs von Verzeichnissen höherer Ebene erben.

Sie sind wichtig, da Windows auf diese Weise Berechtigungen für Prozesse erteilt und erzwingt. Jeder Prozess wird als Benutzer ausgeführt. Wenn dieser Benutzer unter einen oder mehrere ACEs "fällt", löst Windows alle auf, um herauszufinden, ob eine bestimmte Aktion zulässig ist oder nicht.