如何使用安全描述符来应用文件和文件夹安全性
安全描述符包含访问控制列表,这些访问控制列表用于确定用户可对文件和文件夹执行的操作以及当用户访问文件和文件夹时需审核的内容。
- 权限
- 权限由对象的所有者允许或拒绝,并且决定对象(用户、组或计算机对象)可对指定文件或文件夹执行的操作。
- 安全描述符
- 安全描述符是数据结构,该数据结构包含定义文件或文件夹相关权限的安全性信息。
- 访问控制列表(ACL)
- 访问控制列表是包含在安全描述符内的列表,包含用户、组或计算机对象可对文件或文件夹执行的操作的相关信息,安全描述符即被应用于这些文件或文件夹。安全描述符可包含以下两种类型的 ACL:
酌情访问控制列表(DACL)
系统访问控制列表(SACL)
- 酌情访问控制列表(DACL)
- DACL 包含适用于用户、组和计算机对象的 SIDS 列表,这些对象可能被允许或被拒绝对文件或文件夹执行操作。DACL 包含零条或多条访问控制条目(ACE)。
- 系统访问控制列表(SACL)
- SACL 包含适用于用户、组和计算机对象的 SIDS 列表,这些对象成功或失败的审核事件都会被记录。SACL 包含零条或多条访问控制条目(ACE)。
- 访问控制条目(ACE)
- ACE 是 DACL 或 SACL 中的单独条目:
DACL 访问控制条目规定了对特定用户、组或计算机对象允许或拒绝的访问权。
SACL 访问控制条目规定了在审核特定用户、组或计算机对象所执行的特定操作时,要记录的成功或失败事件。
- 权限继承
- 权限继承描述了安全描述符中定义的权限如何从父对象传播到对象。子对象仅继承可继承的权限。在设置父对象上的权限时,您可以通过
应用于this-folder、sub-folders和files
,来决定文件夹、子文件夹以及文件是否可继承这些权限。
提供反馈