MAC和DAC

MAC与DAC

在多用户环境中，重要的是要设置限制以确保人们只能访问他们需要的内容。在这方面，强制访问控制（MAC）和自主访问控制（DAC）是两种流行的访问控制模型。它们之间的主要区别在于它们如何为用户提供访问权限。使用MAC，管理员创建一组级别，每个用户都与特定的访问级别链接。他可以访问不超过其访问级别的所有资源。相比之下，DAC中的每个资源都有一个可以访问它的用户列表。 DAC按用户身份提供访问权限，而不是按权限级别提供访问权限。

MAC是一种更简单的建立和维护访问方式，特别是在处理大量用户时，因为您只需为每个资源建立一个级别，为每个用户建立一个级别。使用DAC，您需要了解每个需要资源的人员，以便他们可以获得访问权限。 DAC的优点是灵活性。如果您的二级用户需要访问单个1级资源，则无法访问该用户，而无法访问同一类别中的所有其他资源。降低用户资源的级别也会导致其级别的所有其他用户获得对该资源的访问权限。使用DAC，您只需将该用户添加到可以访问资源的人员列表中。

管理员更容易跟踪谁有权访问什么，因为只有他们可以使用MAC更改权限级别。 DAC为有权访问该资源的用户提供了通过将其包含在列表中来提供对其他用户的访问权限的用户。如果人们只是将其他人添加到他们可以访问的内容中，这可能会有问题。

MAC的一个很好的例子是管理员，普通用户和访客的Windows访问级别。对于DAC，Linux文件操作系统的权限就是一个很好的例子。

摘要：

1.MAC基于级别提供访问，而DAC基于身份提供访问 2.DAC比MAC更加劳动密集 3.DAC比MAC更灵活 4.MAC访问只能由管理员更改，而其他用户可以提供DAC访问