访问控制：理解 Windows 文件和注册表权限

核心提示： 图 7 ACL 访问掩码 系统对所有对象使用一种 ACE 权利位图表示，对不同的对象来说，访问控制：理解 Windows 文件和注册表权限(6)，并不是所有的位都有意义，只应用那些适用于某个对象的权利，请参阅图 A 到图 J，我们将会讨论文件系统和注册表的权限，标准权利是对所有安全对象都通

图 7 ACL 访问掩码

系统对所有对象使用一种 ACE 权利位图表示。对不同的对象来说，并不是所有的位都有意义。只应用那些适用于某个对象的权利。标准权利是对所有安全对象都通用的权限。泛型权利是为各种对象指定相似类型权利的简便方法。泛型权利的规范映射为一组适当的具体权限集合。当指定 SACL 时，完整性标签也将使用 ACE 权利字段进行编码。图 8 中列出了各种对象的可用权利。

图 8 泛型权利

有许多大致等同的权利映射在使用时并无区别。完全控制 (FC) 等同于 Generic_All (GA)。对于文件系统，File All (FA) 是适用的完全控制声明。Key All (KA) 是适用于注册表的完全控制声明。泛型声明常用于更适合声明的地方，但会根据需要映射为适当的文件系统或注册表项声明。SDDL 表达式常常混合这些术语，因此您需要了解等同的术语。

标准权利和特定权利

许多对象都可以分配权利。除文件和目录外，还有注册表项、进程、桌面等。要查看完整的列表，请参阅图 A 到图 J。我们将会讨论文件系统和注册表的权限，图 9 和图 10 中提供了这些对象的特定权利。

图 9 特定文件权利

图 10 特定注册表权利