¿Dónde importa el propietario del archivo en Windows, ya que hay ACL?

12

Viniendo de un entorno Linux, estoy acostumbrado a un archivo que tiene un propietario y un grupo propietario. Los permisos de acceso se pueden configurar por separado para el propietario, el grupo y otros, y eso es todo.

Ahora en Windows (basado en NT), es un poco diferente, porque Windows usa ACL. Eso significa que, en lugar de tener tres listas de permisos (propietario, grupo, descanso), puedo tener tantas listas de permisos como quiera.

Hasta ahora, esto tiene sentido. Sin embargo, ¿por qué Windows todavía tiene la noción de propietario de un archivo? Para mí, parece que con las ACL, ya no se necesita un "propietario del archivo", porque todo el acceso se puede configurar a través de las ACL.

Entonces, ¿por qué Windows moderno todavía usa la propiedad de archivos? ¿Dónde hace la diferencia quién posee un archivo? Mientras dos archivos tengan las mismas ACL, la propiedad del archivo no debería importar, ¿o no?

windows file-permissions acl sleske
fuente
Sobre todo aplicado para la creación de redes ... gente usar UAC
Piotr Kula
3
@ppumkin: Windows UAC solo es adicional al sistema ACL.
user1686
@ppumkin: apague el UAC y luego intente sobrescribir los archivos en System32. Las ACL lo detendrán frío .
surfasb

Respuestas:

10

En primer lugar, Linux no tiene ACL - POSIX ACL , que permiten configurar los bits de permiso para cualquier número de usuarios y grupos. (Los parches para RichACL , ACL muy similares a NFSv4 y WinNT, se han enviado repetidamente, pero aún no se han fusionado).

La propiedad se puede usar como una especie de escape de seguridad: el propietario siempre puede cambiar las ACL del objeto, incluso si el cambio se negaría de otra manera, por ejemplo, si alguien elimina accidentalmente todas las entradas de ACL o niega todos los cambios a todos. (En Linux, solo el propietario o superusuario puede cambiar las ACL de un archivo, ya que no existe un permiso separado para "cambiar las ACL").

Otro uso de la propiedad del archivo, tanto en Windows NT como en Linux, es para determinar en qué cuota se debe contar con el archivo, si las cuotas de disco están en uso.

usuario1686
fuente
@surfasb Haciendo eco de su comentario. Muy buen argumento para "preocuparse" por la propiedad.
Erutan409
3

Hay una gran diferencia si lo miras desde la perspectiva de un administrador.

En Linux, la raíz puede hacer todo directamente: la cuenta implícitamente como todos los permisos en todos los objetos en el sistema de archivos y más allá.

En Windows, un administrador no tiene permisos para hacer todo de forma predeterminada, solo si usted es el propietario del objeto (archivo, entrada de registro de carpeta, ...) que desea cambiar.

Tomemos, por ejemplo, una carpeta que un administrador necesita para cambiar los permisos del archivo. Si el administrador no tiene permiso para cambiar la configuración de seguridad de la carpeta, debe hacerse cargo de la propiedad de la carpeta antes de poder acceder / cambiarla.

Actualizar:

Esta característica es importante porque en un entorno controlado por ACL puede existir el caso de que un archivo tenga una ACL vacía, lo que significa que nadie tiene acceso (principio predeterminado de denegación). En tal caso, hacerse cargo de la propiedad es la única forma de obtener acceso o eliminar el archivo.

Robert
fuente
1
¿Eso significa que solo el propietario de un archivo puede cambiar sus permisos? ¿O por qué un administrador puede tomar posesión de un archivo, pero no puede cambiar los permisos directamente?
sleske
Ver mi respuesta actualizada.
Robert
@sleske: Sí, el propietario de un objeto siempre puede cambiar sus permisos.
surfasb
2

El propietario del objeto siempre puede cambiar las ACL.

Kinokijuf
fuente
1
¿Cómo se cambia la ACL?
Simon Sheehan
1
Usando la pestaña de seguridad en las propiedades.
kinokijuf