访问控制:理解 Windows 文件和注册表权限
2008-12-01 12:55:53 来源:WEB开发网C:>cacls c:windows /s
C:Windows "D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-18310
38044-1853292631-2271478464)(A;CIIO;GA;;;S-1-5-80-956008885-3
418522649-1831038044-1853292631-2271478464)(A;;0x1301bf;;;SY}
(A;OICIIO;GA;;;SY)(A;;0x1301bf;;;BA)(A;OICIIO;GA;;;BA)(A;;0x1200a9;;;BU)
(A;OICIIO;GXGR;;;BU)(A;OICIIO;GA;;;CO)"
“可信的安装程序”的 SID 是 S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464。使用 TI 作为简写,我们可以发现下面的内容:
C:Windows "D:PAI
(A;;FA;;;TI)(A;CIIO;GA;;;TI)
(A;;0x1301bf;;;SY)(A;OICIIO;GA;;;SY)
(A;;0x1301bf;;;BA)(A;OICIIO;GA;;;BA)
(A;;0x1200a9;;;BU)(A;OICIIO;GXGR;;;BU)
(A;OICIIO;GA;;;CO)"
通过解读,您可以看出这是受保护的 ACE,它使用 Windows NT 5.0 继承模型应用到 C:Windows。
“可信的安装程序”对 C:Windows 具有完全控制权限,并具有 C:Windows 下所有子容器(由于是 CI,仅继承)的 Generic_All 权限。
系统和管理员拥有对 C:Windows 的 Read、Write、Append、ReadEA、WriteEA、Execute、ReadAttr、WriteAttr、Del、RCtl 和 Sync 权限(等于 SDGRGWGX 权限)。这相当于 Generic_All 减去 Write_Owner 和 Write_DAC 权限;这表示除更改所有者和 ACL 以外,“管理员”和“系统”具有其他全部权限。“BA”和“SY”拥有对子文件和目录对象的 Generic_All 权限。
更多精彩
赞助商链接