Как работает система прав доступа в Windows Server?

Система прав доступа в Windows Server работает на основе списков контроля доступа (Access Control List, ACL), которые привязаны к каждому объекту (файлу или папке) в файловой системе NTFS. 1

В ACL хранятся идентификаторы безопасности пользователей и групп, которым разрешён (или запрещён) доступ к объекту. 1 Если пользователь или группа, членом которой он является, не указаны в ACL, то такой пользователь доступ не получит. 1

В ACL содержатся записи управления доступом (Access control entry, ACE), которые определяют разрешения пользователя при доступе к объекту. 1 Каждый ACE включает: 1

• SID доверенного лица — идентификатор пользователя или группы, доступ которого контролируют. 1
• Маску доступа — тип доступа (чтение, запись, выполнение и т. д.). 1
• Флаги — определяют тип ACE (разрешение или запрет), а также параметры наследования. 1

Кроме явно назначенных разрешений, в ACL могут входить разрешения, наследуемые из дескриптора безопасности родительского объекта. 1 Это позволяет применять разрешения доступа родительского объекта к любому дочернему объекту, что избавляет от необходимости назначать разрешения каждому новому объекту. 1

Процесс доступа к сетевой папке в Windows Server выполняется следующим образом: 2

1. Пользователь обращается к серверу и запрашивает доступ к общей сетевой папке. 2
2. Служба LanmanServer на сервере проверяет, есть ли у пользователя необходимые разрешения на доступ к данной сетевой папке. 2 Если доступ имеется, служба возвращает пользователю список с содержимым папки. 2
3. Затем пользователь может выбрать и попытаться открыть необходимый ему файл или папку. 2
4. Сервер проверяет, имеет ли пользователь необходимые NTFS права на доступ к данному элементу. 2 Если у пользователя есть необходимые разрешения, он открывает нужный объект. 2 Если у пользователя недостаточно прав — возвращается ошибка отказа в доступе. 2