基于系统策略中的访问控制列表

访问控制列表( ACLs)包括用户访问列表、矩阵和权限列表，它控制了用户的权限和特权。ACLs控制了对文档存储系统、中间设备或其他网络通信设备的访问。一个权限列表详细规定了哪些设备用户或组可以访问。权限规定常常采用复杂矩阵的形式，而不是简单的列表。

Microsoft Winclows NT/2000和Novell Netware families of syslems把ACLs转变成一种配置单元，系统管理员用这个配置单元可以控制系统访问。具体到实现细节和特性（通常称作粒度）系统和系统之间可能有所不同，但总体上说，是ACLs使管理员能够根据用户、计算机、访问时间、甚至特殊的文档来限制对系统的访问。 这个范围给了管理员很大的控制力度。一般说来，ACLs规定以下几个方面：

*谁可以使用系统

*授权用户可以访问什么

*授权用户在何时可以访问系统

*授权用户在何地可以访问系统

*授权用户怎样访问系统

限制谁可以访问网络是不需要解释的。限制用户可以访问什么，例如，哪台打印机、哪种文档、哪种信息和应用程序，管理员给用户分配特权，例如：

*读

*写

*创建

*修改

*删除

*对比

*拷贝

这个列表没有包含所有，但代表了关键的ACL特权类型。表4—4和4-5显示了Novell和Microsoft操作系统是如何实现ACL安全模型的。