17. 若系統管理員採用「基於角色的存取控制(Role-Based Access Control, RBAC)」來管理伺服器，下列何項最能反映 RBAC 與傳統 DAC(Discretionary Access Control)的主要差 異？
(A) RBAC 的存取決策依據使用者所屬角色，DAC 的存取決策依據資源擁有者的設定
(B) RBAC 屬於強制式存取控制的一種，DAC 屬於集中式管理模型
(C) DAC 無法支援多使用者環境，RBAC 則能依角色分派給多人
(D) 在 RBAC 中，使用者可直接修改自己資源的存取權 限；在 DAC 中則需透過系統管理員

這題的正確答案是 (A) RBAC 的存取決策依據使用者所屬角色，DAC 的存取決策依據資源擁有者的設定。

以下是詳細解析：

為什麼選擇 (A)？

這是 RBAC 與 DAC 最核心的區別所在：

• RBAC (Role-Based Access Control，以角色為基礎的存取控制)：

  • 權限來源：權限是綁定在「角色 (Role)」上（例如：經理、會計、IT人員），而不是直接綁定在使用者身上。

  • 控制方式：由系統管理員 (Admin) 統一制定策略。使用者被指派到某個角色後，就自動繼承該角色的權限。使用者無法自行決定將權限轉讓給他人。

• DAC (Discretionary Access Control，自主式存取控制)：

  • 權限來源：權限的控制權在於檔案/資源的擁有者 (Owner)。

  • 控制方式：檔案的建立者（擁有者）有權決定「誰」可以存取這個檔案，以及擁有什麼權限（讀取、寫入、執行）。例如 Windows 或 Linux 的檔案權限設定就是典型的 DAC。

其他選項為何不正確？

• (B) RBAC 屬於強制式存取控制的一種，DAC 屬於集中式管理模型：

  • 錯誤：MAC (Mandatory Access Control) 才是強制式存取控制。RBAC 通常被視為一種獨立的中性策略（或稱為非自主式存取控制）。

  • 錯誤：DAC 是「分散式」的（因為每個檔案擁有者都能自行設定權限），RBAC 才是比較偏向「集中式」的管理（由管理員統一管理角色與權限）。

• (C) DAC 無法支援多使用者環境，RBAC 則能依角色分派給多人：

  • 錯誤：DAC 絕對可以支援多使用者環境（例如 Unix/Linux 系統幾十年來都是多使用者的 DAC 架構）。

• (D) 在 RBAC 中，使用者可直接修改自己資源的存取權限；在 DAC 中則需透過系統管理員：

  • 錯誤：敘述完全相反。

  • 在 DAC 中，使用者（擁有者）可以自己修改權限（例如 chmod 指令）。

  • 在 RBAC 中，使用者不可以修改權限，必須由系統管理員來修改角色的定義。