ACL (Access Control List) - это список управления доступом, который используется для ограничения доступа к реестру Windows. Ранее с помощью политик мы отключили запуск редактора реестра. Но это не означает, что пользователь не может редактировать реестр другими средствами, даже неявно. Например, он может запустить вредоносную программу, которая внесет нежелательные изменения в реестр.
В реестре есть ряд ключей, которые в большинстве случаев не должны редактироваться. Это необходимо для стабильной работы системы. Обычно достаточно доступа "только чтение" - простым пользователям больше и не нужно.
В то же время, неправильно установив ACL, можно нарушить нормальную работу самой Windows. Так что отнеситесь к редактированию ACL очень ответственно или вообще забудьте об этой идее. Администраторы довольно редко редактируют ACL, но все же в некоторых случаях делать это необходимо.
Зачем нужно редактировать ACL? Во-первых, как я уже отметил, для запрещения доступа к некоторым ключам реестра. Во-вторых, некоторые приложения требуют, чтобы их запускал пользователь, состоящий в группе Администраторы. Но не будешь же из-за этого добавлять всех пользователей в эту группу. В некоторых случаях такое требование программы оправданно, а в некоторых - нет. В первом случае программа должна действительно запускаться только администраторами, во втором - это просто просчет разработчиков программы. Поэтому можно предоставить доступ к необходимым ключам реестра всем пользователям, которым нужна эта программа. Труд довольно кропотливый, но это позволит не добавлять в группу Администраторы пользователей, которые ими не являются.