Windows下ACL权限介绍

最新推荐文章于 2026-04-08 09:15:08 发布
原创 最新推荐文章于 2026-04-08 09:15:08 发布 · 1.2w 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#acl #window #权限
本文深入探讨了Windows访问控制的核心概念,包括SID、AccessToken、SecurityDescriptor及其作用过程。详细解释了安全标识符(SID)、访问令牌(AccessToken)与安全描述符(SecurityDescriptor)的构成与功能,以及它们如何共同决定访问权限。

Windows访问控制概述:
Windows访问控制中最主要的部分:访问令牌(Access Token)和安全描述符(Security Descriptor),window通过查看访问者AT与被访问对象SD中的内容来确定访问者是否能访问对象。

Windows访问控制概念介绍:
① SID:Secure Identifier(安全标识符),每个用户和账户组都有一个唯一的SID(通常情况下唯一)。它是标识用户、用户组和计算机账户唯一的号码,由计算机名、当前时间、当前用户态线程的CPU耗费时间三个参数来确定。
② Access Token:与特定的windows账户关联,账户环境下启动的所有进程都会获得该令牌的副本,进程中的线程默认获得这个令牌。由关联账户的SID、当前登录账户所属组的SID列表、受限制的SID列表、当前登录账户与所属组的Privilege列表组成。
③ Security Descriptor:安全描述符,与被访问对象关联。由对象所有者的SID、属组SID、DACL、SACL组成。DACL(随机访问控制列表)是SD最重要的一部分,描述允许或拒绝特定用户或组的某些访问权限,它包含零个或多个访问控制实体(ACE,Access Control Entry)。
④ ACE:访问控制实体,用于指定特定用户/组的访问权限,由SID、SIZE、Type、Access Mask、Inheritance/Audit Flags组成。

Windows访问控制流程图:
当一个线程尝试去访问一个对象时,系统会检查线程持有的令牌以及被访问对象的安全描述符中的DACL。
如果安全描述符中不存在DACL,则系统会允许线程进行访问。如果存在DACL,系统会顺序遍历DACL中的每个ACE,检查ACE中的SID在线程的令牌中是否存在。以访问者中的User SID或Group SID作为关键字查询被访问对象中的DACL。顺序:先查询类型为DENY的ACE,若命中且权限符合则访问拒绝;未命中再在ALLOWED类型的ACE中查询,若命中且类型符合则可以访问;以上两步后还没命中那么访问拒绝。
这里写图片描述

simmerchan
关注
Windows账户安全设置
悦分享
05-14 3303
用户账户控制(UAC)最初名为User Account Protect,是微软为提高系统安全而在Windows Vista中引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止或提示标准用户进行不当的系统设置改变。在Windows 7中,微软对UAC功能进行了大量改进,在确保安全性的同时,让UAC的提升提示出现的数量更少,而且我们可以根据需要使用不同级别的提示,因此,在确保安全的同时,也进一步提升了易用性。
域控ACL权限管理分析
yudunanquan的博客
08-30 1942
在域控环境中,ACL权限的设置和管理尤为重要,因为它直接关系到整个域的安全性和数据的保护。然而针对ACL权限的管理,因为域控集权设施存在大量错综复杂的配置等信息,无法让企业安全管理运维人员深入了解域控ACL权限情况,可能导致存在的域控权限风险。如需进一步了解域控ACL安全管理,欢迎添加微信号(kefuxiaozhushou123)进行交流。本文由博客一文多发平台OpenWrite发布!
访问控制列表ACL学习
st3pby的博客
12-07 2293
需要注意的是,DACL 只是访问控制的一部分,它仅涵盖了资源的自由访问控制。在 Windows 操作系统中,还有其他类型的访问控制,如系统访问控制列表(SACL)用于审核和监视访问,以及对象所有者等。总而言之,DACLWindows 操作系统中用于自由访问控制的权限机制,用于确定谁可以访问资源以及他们可以执行的操作。它提供了一种灵活的方式来定义和管理资源的访问权限,以满足安全性和数据保护的需求。
防火墙入门核心:基本访问控制列表(ACL)配置详解与实战教程
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-08 1805
访问控制列表是防火墙最核心的基础功能,相当于网络的**“门禁系统”。它能精确控制谁能访问、谁不能访问、允许什么流量、拒绝什么流量**,是企业网络安全的第一道防线。本文以Cisco防火墙(ASA/路由器防火墙)为例,从ACL原理、分类、配置步骤、实战案例、验证排错五大维度,结合流程图、序号化操作、可直接复制命令,带你从零学会防火墙基本ACL配置。ACL 是一组允许/拒绝(permit/deny)的规则集合,防火墙根据ACL规则对数据包进行过滤、匹配、放行或丢弃,实现流量访问控制。ACL = 防火墙门禁规则。
mysql权限相关
qq_43751336的博客
10-02 356
mysql权限相关查看mysql所有用户信息删除用户查看权限修改权限刷新权限 出现的问题: SELECT command denied to user ''@'localhost' for table 'account' 查看mysql所有用户信息 select * from user; //查看mysql所有用户信息 其中 :;1表示为ipv6,即ipv4的127.0.0.1 如果Host=%,表示所有IP都有连接MySQL权限。可以参考以下链接 https://blog.csdn.net/z69
设置Windows服务的ACL (待验证)
海绵汽水的博客
11-27 3283
默认情况下,只有管理员组成员、LocalSystem和Power Users组成员帐户才有权启动、停止服务。为了让普通用户也可以控制该服务,我们可以手动设置其访问权限。可能有些初学者会感到奇怪,怎么服务也可以设置权限?其实在Windows系统里,不仅可以对文件夹设置权限,还可以对注册表、打印机和服务等系统资源进行权限设置。然而对服务进行权限设置,没有对文件夹进行权限设置那么直观,需要借助以下两种方
探索Windows文件权限的新境界:ACL查询与导出神器
gitblog_00576的博客
09-11 686
探索Windows文件权限的新境界:ACL查询与导出神器 在Windows系统管理中,深入理解并管理文件和文件夹的访问控制列表(ACL)是至关重要的一环。今天,我们为您介绍一款专为此目的打造的开源工具——Windows文件权限ACL列表查询导出工具,这是一款针对Windows环境下文件权限精细化管理的利器。 项目介绍 这款工具,通过简洁的命令行界面,让管理员能够轻松地查询和导出任意文件夹及其子文件...
Windows 基于ACL(访问控制列表)的权限管理
qq_39741838的博客
08-16 635
Windows系统采用ACL(访问控制列表)机制实现细粒度的权限管理,主要由DACL(控制访问)和SACL(审计访问)组成,包含多种基本和特殊权限类型。系统提供图形界面和命令行工具(如icacls、Get-Acl等)进行权限配置,并支持权限继承机制。最佳实践包括使用组分配权限、遵循最小权限原则、定期审计等。ACL系统是Windows安全管理的核心,合理配置可有效控制资源访问。
掌握Windows安全设置:ACL与ACE的管理
weixin_42613360的博客
04-14 1057
本文深入探讨了Windows文件系统安全设置的基本概念,重点介绍了访问控制列表(ACL)和访问控制条目(ACE)的管理和应用。通过阅读本书的第23章内容,读者将了解到如何使用Get-Acl和Set-Acl命令配合.NET的System.Security.AccessControl库类来显示和操作ACL及ACE,这是系统管理中较为复杂的部分,但对维护系统的安全至关重要。
系统管理:文件访问权限ACL
uncle103的博客
10-28 504
ACL(acess control list) 传统UNIX文件系统:文件访问权限包含三个部分,user / group / others,这类文件系统简洁而功能相对完善,在很长时间内被证实可以被应用于大多数场合,其典型表示如图 但是某些特殊场合,仅仅拥有三种权限判定类别是不够的。因此出现了ACL这样新型的文件系统设计,从而指定更多具体的用户其访问权限 ACL标准 标准名称 备注 ...
Linux--ACL权限--简介和开启
喜三仔的世界
05-05 1481
qq
NTFS权限ACL权限使用方法
youcan_doit的博客
04-20 951
NTFS权限ACL权限使用方法
修改 Windows 文件访问权限的多种方法
溡漪幽博客
08-23 1万+
由于文件是安全对象,因此访问它们受访问控制模型控制,该模型控制对 Windows 中所有其他安全对象的访问。更改文件或目录对象的安全描述符,需要调用或等函数。ACL,用来表示用户(组)权限的列表,包括 DACL和 SACL;ACE,ACL中的元素;DACL,用来表示安全对象权限的列表;SACL,用来记录对安全对象访问的日志。关于这几个概念已经有很多资料解释,这里就不详细展开了。(以下仅介绍通过Win32API修改文件安全属性的一些内容)。
关于:Windows 中的 ACL,DACL,SACL 和 ACE
老陈醋的博客
02-11 2946
关于:Windows 中的 ACL,DACL,SACL 和 ACE
windows@修改目录或文件的所有者权限@访问控制列表ACL@共享文件夹访问权限
xuchaoxin1375的博客
08-06 3080
windows个人用户对文件夹或文件做访问控制权限设置的情况比较少,但有时确实需要一类是不当得使用管理员权限做某些更改或者授权给某些软件运行了一些修改文件夹或文件的命令导致用户访问发生异常另一方面则是用户主动利用访问控制权限保护数据不被未授权的行为造成影响,比如共享文件夹为特定用户设置特定的权限,那么就要配合NTFS访问控制权限设置,授权不同用户不同的访问权限
企业 NAS 升级,如何解决 Windows ACL 权限迁移和配置?
XSKY星辰天合的博客
12-21 1331
目前,主要采用的权限控制方式是将 Windows ACL(Access Control List)与 AD 域权限控制相结合,以实现对文件和目录的细粒度权限控制,保障数据的安全访问。XSKY XGFS 分布式文件系统通过完整的数据和权限迁移,支持本地用户和域用户 Windows ACL 高效的管理界面配置,助力企业数字化深入发展,已经帮助多个企业快速进行数据存储、分析、应用,有效提升企业创新和竞争力。数据是企业的生命线,也是企业数字化转型的基石,因此严格的权限控制是必要的手段。
关于Windows权限和一些安全问题
wowbell的专栏
03-02 1753
<br />作者:刺(aXis)<br />来源:www.ph4nt0m.net(当时还在用这个域名,也有网上流传的文章里用的是www.3389.net的域名,曾经也是幻影最初的域名之一。)<br />摘要:关于nt的acl,token,and privilege的,以及通过privilege绕过acl,达到访问文件的目的。可以说是另一种克隆administrator的方法,不过更隐蔽, 利用起来难度较大,需要绕过检测才行,目前取的的突破是利用权限绕过acl。<br />关键字:ACL,ACE,DA
Windows文件权限管理详解
悦分享
10-08 3220
Windows 操作系统中,权限指的是不同用户账户或用户组访问文件、文件夹的能力。作为操作系统的安全措施之一,权限管理同样值得用户深入了解。对文件或文件夹等对象设置使用权限,可以防止系统文件被删除或修改。当应用程序要合法使用操作系统文件时,则可以通过 UAC 临时提升权限
Windows权限(用户、组和访问控制)
热门推荐
提供C#相关开发 、云计算、运维测试、网络安全相关技术分享与服务,有意向可联系。
02-05 4万+
一、用户与组介绍 1.1、用户账户 Windows的用户帐户是对计算机用户身份的识别,且本地用户帐户和密码信息是存储在本地计算机上的(即由:安全账户管理器【Security Accounts Manager】负责SAM数据库的控制和维护;SAM数据库则是位于注册表的【计算机\HKEY_LOCAL_MACHINE\SAM\SAM】下,受到ACL保护),SAM文件在【C:\Windows\System32\config】路径下。SAM对应的进程:lsass.exe 。通过本地用户和组,可以为用户和组..
如何在Windows AD域中驻留ACL后门
Palpitate_LL的博客
10-14 889
ACL是一个访问控制列表,是整个访问控制模型(ACM)的实现的总称。常说的ACL主要分为两类,分别为特定对象安全描述符的自由访问控制列表 (DACL) 和系统访问控制列表 (SACL)。对象的 DACL 和 SACL 都是访问控制条目 (ACE) 的集合,ACE控制着对象指定允许、拒绝或审计的访问权限,其中Deny拒绝优先于Allow允许。安全描述符包含与安全对象关联的安全信息。安全描述符由 SECURITY_DESCRIPTOR 结构和关联的安全信息组成。• 对象所有者和主组的安全标识符 (SID)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值