权限和安全描述符

网络的每个容器和对象都有一组附加的访问控制信息。该信息称为安全描述符,它控制用户和组允许使用的访问类型。安全描述符是和所创建的容器或对象一起自动创建的。带有安全描述符的对象的典型范例就是文件。

权限是在对象的安全描述符中定义的。权限与特定的用户和组相关联,或者是指派到特定的用户和组。例如,对于 Temp.dat 文件,可能向内置式管理员组分配读取、写入和删除权限;向 Backup Operators 组仅分配读取和写入权限。

用户或组的每个权限的分配都在系统中作为访问控制项 (ACE) 显示。安全描述符中的整个权限项集称作权限集或访问控制列表 (ACL)。因此,对于一个命名为 Temp.dat 的文件,权限设置包括两个权限条目,一个用于内置管理员组,另一个用于 Backup Operators 组。

显式权限和继承权限

有两种权限类型:显式权限和继承权限。

  • 显式权限是那些在创建非子对象时在这些对象上默认设置的权限,或在非子对象、父对象或子对象上由用户操作设置的权限。

  • 继承权限是从父对象传播到对象的权限。继承权限可以减轻管理权限的任务,并且确保给定容器内所有对象之间的权限一致性。

默认情况下,容器中的对象在创建对象时从该容器中继承权限。例如,当您创建名为 MyFolder 的文件夹时,MyFolder 中创建的所有子文件夹和文件会自动继承该文件夹的权限。因此,MyFolder 具有显式权限,而其中的所有子文件夹和文件都具有继承权限。

注意

如果对象具有显式“允许”权限条目,则继承的“拒绝”权限不阻止对该对象的访问。显式权限比继承权限(包括继承的“拒绝”权限)的优先级高。

其他参考