访问权限

访问权限是对对象执行特定操作的权利。 例如，FILE_READ_DATA访问权限指定从文件读取权限。

打开对象的句柄时，可以指定一组访问权限，这些权限对应于可对该对象执行的操作。 系统根据对象的安全描述符检查指定的访问权限，以查看当前用户是否允许每个操作。 (有关详细信息，请参阅 安全描述符.)

访问权限有两种类型：

特定访问权限是执行单个操作的权利。 特定访问权限取决于对象的类型。

通用访问权限是执行一组类似操作之一的权利。 一般访问权限独立于对象的类型。

标准访问权限 是应用于所有类型的对象的特定访问权限。 例如，无论类型如何，DELETE 访问权限都是删除对象的权限。 有关可用标准访问权限的详细信息，请参阅 ACCESS_MASK。

对象还具有取决于对象类型的特定访问权限。 例如，FILE_READ_DATA表示读取文件的权利，而KEY_QUERY_VALUE表示读取注册表项的值条目的权利。

对象类型可以具有零个、一个或多个访问权限，这些权限对应于读取或写入对象的一般概念。 例如，除了FILE_READ_DATA，文件对象还具有FILE_READ_ATTRIBUTES访问权限，该权限表示读取文件的元数据 (，例如文件创建时间) 。 键对象具有KEY_QUERY_VALUE和KEY_ENUMERATE_SUBKEYS，表示读取键子项的权利。

为了简化指定与一般概念（如读取或写入）相对应的所有访问权限，系统提供了通用访问权限。 系统将一般访问权限映射到对象的相应特定访问权限集。

系统提供以下通用访问权限：

• GENERIC_READ

• GENERIC_WRITE

• GENERIC_EXECUTE

• GENERIC_ALL

因此，系统会将GENERIC_READ映射到一组权限，这些权限包括文件的FILE_READ_DATA和FILE_READ_ATTRIBUTES，以及KEY_QUERY_VALUE键和KEY_ENUMERATE_SUBKEYS。 有关每个泛型访问权限的详细信息，请参阅 ACCESS_MASK。