什么是Windows ACL？

什么是Windows ACL，为什么它们很重要？

我在这个Wiki页面上找到了以下内容。

关于计算机文件系统的访问控制列表（ACL）是附加到对象的权限的列表。ACL指定授予哪些用户或系统进程访问对象的权限，以及对给定对象允许的操作。典型ACL中的每个条目都指定一个主题和一个操作。例如，如果文件的ACL包含（Alice，delete），则这将授予Alice删除文件的权限。

回答有关“为什么重要”的问题 如果您还不了解，如果没有，则权限将不存在。这就是Windows理解谁拥有某些特权的方式。

您可以这样看。

NTFS上的每个对象都有一个序列号（包括用户帐户，用户组，进程，设备等）。访问控制列表跟踪哪个序列号可以访问另一个序列号以及设置了哪些权限。只需考虑所有具有序列号以及附加权限的内容。

如果删除名为FRED的用户，则会删除其序列号，并将其从ACL中删除。实际上，FRED的序列号不再与其他设备关联，并且他对这些设备的权限也被删除。

如果您重新创建用户名FRED，将为他分配一个新的序列号。ACL会将其识别为新号码。因此，它不会重新建立已删除的FRED帐户所具有的任何权限。

希望这有助于概念化ACL是什么，它如何工作以及为什么它很重要。

访问控制列表（ACL）具有零个或多个访问控制项（ACE）。Windows中的许多不同对象都可以具有ACL，例如文件，设备，打印机，注册表项和其他内容。（如果您想获得Windows“命名空间”中所有不同类型对象的概述，请查看SysInternal的WinObj-许多对象是Windows内部的，并不直接向用户公开）

ACE由

• 一个校长。通常这是用户或组。它可以是域控制器上Active Directory数据库中的用户，组或计算机，也可以是本地用户。有“虚拟”组，例如“每个人”和“经过身份验证的用户”。

和

• 一个或多个功能，可以将每个功能设置为“允许”或“拒绝”。功能的一些示例为“读取”，“写入”，“列表内容”等。“拒绝”优先于“允许”。除非有特定的“允许” ACL，否则大多数对象（例如文件等）将不允许访问或更改。因此，拒绝只能在特殊情况下使用。

可以继承ACL，即较低级别目录中的文件可以从较高级别目录继承ACL。

它们很重要，因为这是Windows向进程授予和强制执行特权的方式。每个进程都以用户身份运行，如果该用户“属于”一个或多个ACE，则Windows会解决所有问题，以确定是否允许执行特定操作。