¿Dónde almacena Windows las ACL y las ACL siguiendo un file de una máquina a otra?

Nuestra aplicación utiliza un componente que requiere un file de licencia en el directory con nuestro ejecutable, que pasa a ser una aplicación .NET WinForms, aunque creo que es irrelevante para esta pregunta. Cuando se instala en algunas máquinas XP Pro (solo tres de varios cientos hasta el momento), el componente arroja una exception de licencia. Así que regeneré el file de licencia y lo envié al proveedor del componente (EMC Captiva), donde el vendedor afirma que el error se debe al hecho de que el grupo "Usuarios" no tiene permissions de lectura en el file. El usuario que encuentra el error pasa a ser un administrador local, pero eso es además del punto, ya que todavía tengo curiosidad sobre la pregunta más general.

Así que mi pregunta es, ¿las ACL están almacenadas en un file para que sigan el file a lo largo de su vida, especialmente cuando el file de licencia se generó en mi máquina dev (máquina 1), se almacenó en Subversion (máquina 2), se retiró del control fuente por TeamCity (máquina 3), empaquetado en un instalador por InstallShield (máquina 4), y finalmente implementado en la máquina del cliente (máquina 5) donde fue instalado por un administrador. ¿Qué sucede después de generar el file en mi máquina de desarrollo (máquina 1), cargarlo al proveedor de componentes a través de su sitio de soporte (máquina 2) y la persona de soporte lo descarga a su máquina para su inspección (máquina 3)?

No lo sé con certeza (por eso lo estoy preguntando aquí), pero asumí que cada máquina de Windows almacena ACL en algún directory / list / tabla central administrado por NTFS en lugar de estar almacenado dentro del file. ¿Qué sucede con la list de control de acceso del file original cuando se copy de una máquina a otra, se almacena en Subversion, se empaqueta en una MSI, etc.? ¿Puede alguien señalarme algunas buenas references en las que pueda leer sobre esto?

Las ACL se almacenan en la parte de una partición NTFS que hace toda la fontanería de background: la MFT (Master File Table).

La ACL no sigue un file, ya que no forma parte del file (al igual que el nombre del file es metadata). El file puede cruzar límites de tipo de partición (NTFS-> FAT), la ACL no puede.

Ahora, si mueve un file dentro de una partición NTFS, puede tener la printing de que las ACL realmente siguen el file. Esto se debe a que durante un movimiento, solo se cambia el nombre del file en el MFT. Todo lo demás se queda igual.

Si copy un file o lo mueve a otra partición o computadora (que en realidad es una operación de copy + eliminación), el file copydo henetworkingará de forma pnetworkingeterminada los permissions de su nuevo contenedor (solo los henetworkingables, para ser precisos).

Sin embargo, hay herramientas que son capaces de retener la ACL de un file después de una operación de copy (simplemente recreándolo en el file de destino después de la operación de copy) incluso sobre los límites de la partición o la computadora. xcopy puede hacer eso, entre otros.

Pero dado que una ACL puede contener SID que son "propiedad del dominio", una input de ACL puede no ser significativa para la computadora de destino que no es parte del mismo dominio (por ejemplo cuando se lleva a casa una unidad USB con formatting NTFS). En ese caso, la input de ACL no tendrá ningún efecto.

Otros SID son "bien conocidos", como el SID "SYSTEM". Estos serán realmente reconocidos a través de las fronteras del dominio.