1、在 Windows 中,每个安全对象都有一个安全描述符(Security Descriptor,SD)。
- SD 有助于控制对对象的访问,它包含所有者的信息、要审核的内容以及以何种方式授予访问权限。
- 它包含了真正的用于设置安全权限的 ACL。
2、ACL(Access Control List)有 2 个,DACL 和 SACL。
- DACL(Discretionary Access Control List),主要用于设置用户以及用户组对安全对象的访问权限。
- SACL(System Access Control List,SACL),用于配置对安全对象的访问的审计(生成日志)。
- 每个 ACL 由多个 ACE(Access Control Entries)构成。
3、图示: