Windows ACL은 무엇입니까?

Windows ACL은 무엇이며 왜 중요합니까?

이 위키 페이지 에서 다음을 발견했습니다 .

컴퓨터 파일 시스템과 관련하여 ACL (액세스 제어 목록)은 개체에 연결된 사용 권한 목록입니다. ACL은 오브젝트에 대한 액세스 권한이 부여 된 사용자 또는 시스템 프로세스와 지정된 오브젝트에 허용되는 조작을 지정합니다. 일반적인 ACL의 각 항목은 주제와 작업을 지정합니다. 예를 들어, 파일에 (Alice, delete)가 포함 된 ACL이있는 경우 Alice는 파일을 삭제할 수있는 권한을 부여합니다.

"왜 중요한가?"에 대한 질문에 대답하기 위해 아직 이해하지 못하면 권한이 없으면 권한이 존재하지 않습니다. Windows가 특정 권한을 가진 사람을 이해하는 방식입니다.

이런 식으로 볼 수 있습니다.

NTFS의 모든 개체에는 일련 번호 (사용자 계정, 사용자 그룹, 프로세스, 장치 등)가 있습니다. 액세스 제어 목록은 다른 일련 번호에 액세스 할 수있는 일련 번호와 어떤 권한이 설정되어 있는지 추적합니다. 사용 권한이 첨부 된 일련 번호가있는 모든 것을 생각해보십시오.

FRED라는 사용자를 삭제하면 일련 번호가 삭제되고 ACL에서 제거됩니다. 실제로 FRED의 일련 번호는 더 이상 다른 장치와 연결되지 않으며 해당 장치에 대한 권한도 제거됩니다.

사용자 이름 FRED를 다시 만들면 새 일련 번호가 할당됩니다. ACL은 이것을 새로운 숫자로 인식합니다. 따라서 삭제 된 FRED 계정에있는 권한은 다시 설정되지 않습니다.

이것이 ACL의 정의, 작동 방식 및 중요한 이유를 개념화하는 데 도움이되기를 바랍니다.

ACL (Access Control List)에는 0 개 이상의 ACE (Access Control Entry)가 있습니다. Windows의 많은 다른 개체는 파일, 장치, 프린터, 레지스트리 항목 및 기타 항목과 같은 ACL을 가질 수 있습니다. ( Windows "네임 스페이스"에있는 모든 다른 유형의 개체에 대한 개요를 보려면 SysInternal의 WinObj를 확인하십시오. 많은 개체가 Windows 내부에 있으며 사용자에게 직접 노출되지 않습니다)

ACE는 다음으로 구성됩니다

• 교장 . 일반적으로 이것은 사용자 또는 그룹입니다. 도메인 컨트롤러의 Active Directory 데이터베이스에있는 사용자, 그룹 또는 컴퓨터이거나 로컬 사용자 일 수 있습니다. "모두"및 "인증 된 사용자"와 같은 "가상"그룹이 있습니다.

과

• 하나 이상의 기능, 각 기능을 허용 또는 거부로 설정할 수 있습니다. Capabilite의 예로는 "읽기", "쓰기", "목록 내용"등이 있습니다. 거부는 허용보다 우선합니다. 파일 등의 대부분의 개체는 특정 "허용"ACL이 없으면 액세스 또는 변경을 허용하지 않습니다. 따라서 거부는 특별한 상황에서만 사용해야합니다.

ACL은 상속 될 수 있습니다. 즉, 하위 디렉토리의 파일은 상위 디렉토리에서 ACL을 상속 할 수 있습니다.

Windows가 프로세스에 권한을 부여하고 적용하는 방식이므로 중요합니다. 각 프로세스는 사용자로 실행되며 해당 사용자가 하나 이상의 ACE에 속하면 Windows는 모든 작업을 해결하여 특정 작업의 허용 여부를 결정합니다.