訪問(wèn)控制列表( ACLs)包括用戶訪問(wèn)列表、矩陣和權(quán)限列表，它控制了用戶的權(quán)限和特權(quán)。ACLs控制了對(duì)文檔存儲(chǔ)系統(tǒng)、中間設(shè)備或其他網(wǎng)絡(luò)通信設(shè)備的訪問(wèn)。一個(gè)權(quán)限列表詳細(xì)規(guī)定了哪些設(shè)備用戶或組可以訪問(wèn)。權(quán)限規(guī)定常常采用復(fù)雜矩陣的形式，而不是簡(jiǎn)單的列表。

Microsoft Winclows NT/2000和Novell Netware families of syslems把ACLs轉(zhuǎn)變成一種配置單元，系統(tǒng)管理員用這個(gè)配置單元可以控制系統(tǒng)訪問(wèn)。具體到實(shí)現(xiàn)細(xì)節(jié)和特性（通常稱作粒度）系統(tǒng)和系統(tǒng)之間可能有所不同，但總體上說(shuō)，是ACLs使管理員能夠根據(jù)用戶、計(jì)算機(jī)、訪問(wèn)時(shí)間、甚至特殊的文檔來(lái)限制對(duì)系統(tǒng)的訪問(wèn)。 這個(gè)范圍給了管理員很大的控制力度。一般說(shuō)來(lái)，ACLs規(guī)定以下幾個(gè)方面：

*誰(shuí)可以使用系統(tǒng)

*授權(quán)用戶可以訪問(wèn)什么

*授權(quán)用戶在何時(shí)可以訪問(wèn)系統(tǒng)

*授權(quán)用戶在何地可以訪問(wèn)系統(tǒng)

*授權(quán)用戶怎樣訪問(wèn)系統(tǒng)

限制誰(shuí)可以訪問(wèn)網(wǎng)絡(luò)是不需要解釋的。限制用戶可以訪問(wèn)什么，例如，哪臺(tái)打印機(jī)、哪種文檔、哪種信息和應(yīng)用程序，管理員給用戶分配特權(quán)，例如：

*讀

*寫

*創(chuàng)建

*修改

*刪除

*對(duì)比

*拷貝

這個(gè)列表沒(méi)有包含所有，但代表了關(guān)鍵的ACL特權(quán)類型。表4—4和4-5顯示了Novell和Microsoft操作系統(tǒng)是如何實(shí)現(xiàn)ACL安全模型的。