访问控制：理解 Windows 文件和注册表权限

核心提示： 图 1 本地磁盘 C 的用户权限 图 2 C 盘的用户权限高级视图用户组的成员可以在系统驱动器根目录下创建文件夹并向文件添加数据，如果单击“编辑”按钮，访问控制：理解 Windows 文件和注册表权限(2)，您将看到另一项对子文件夹的“特殊&rdquo

图 1 本地磁盘 C 的用户权限

图 2 C 盘的用户权限高级视图

用户组的成员可以在系统驱动器根目录下创建文件夹并向文件添加数据。如果单击“编辑”按钮，您将看到另一项对子文件夹的“特殊”授权，如图 3 所示。此操作需要管理员权限。

图 3 用户特殊权利的编辑视图

您可以看到在 Windows Server 2008 中，普通用户默认可以在系统驱动器的根目录创建子文件夹，并向这些文件夹添加内容。为 Windows Server 2008 中用户组的成员提供该功能的原因是某些第三方软件假定存在这些权限，而 Microsoft 不想破坏应用程序的兼容性。

现在让我们开始讨论这些问题涉及的技术，并了解这些权限在用户所能看见的 GUI 界面之下的工作原理。在 Windows 中所有命名的对象都具有安全描述符，它提供有关其所有者的信息，并列出哪些用户和主体具有特定权限。描述符还可以指定必须在系统事件日志中记录哪些对象访问权限。

允许哪些主体（用户、进程等）操作某个对象或资源的信息在称为 ACL 的数据结构中指定。ACL 枚举谁（哪个主体）对具体对象具有哪类访问权限。自由 ACL (DACL) 是 ACL 的一种，在这种类型中对象的所有者可以更改权限。无论何时访问对象，都会将安全描述符与主体的权限进行比较以检验是否允许所请求的访问。