Freigeben über


SACL für ein neues Objekt

Das System verwendet den folgenden Algorithmus, um eine SACL für die meisten Typen von neuen sicherungsfähigen Objekten zu erstellen:

  1. Die SACL des Objekts ist die SACL aus dem Sicherheitsdeskriptor , der vom Ersteller des Objekts angegeben wird. Das System führt alle vererbbaren ACEs in der angegebenen SACL zusammen, es sei denn, das SE_SACL_PROTECTED Bit ist in den Kontrollbits des Sicherheitsdeskriptors festgelegt. SYSTEM_RESOURCE_ATTRIBUTE_ACEs und SYSTEM_SCOPED_POLICY_ID_ACEs aus einem übergeordneten Objekt werden auch dann mit einem neuen Objekt zusammengeführt, wenn das SE_SACL_PROTECTED Bit festgelegt ist.
  2. Wenn der Ersteller keinen Sicherheitsdeskriptor angibt, erstellt das System die SACL des Objekts aus vererbbaren ACEs.
  3. Wenn keine angegebene oder geerbte SACL vorhanden ist, verfügt das Objekt über keine SACL.

Um eine SACL für ein neues Objekt anzugeben, muss der Ersteller des Objekts die berechtigung SE_SECURITY_NAME aktiviert haben . Wenn die angegebene SACL für ein neues Objekt nur SYSTEM_RESOURCE_ATTRIBUTE_ACEs enthält, ist die SE_SECURITY_NAME Berechtigung nicht erforderlich. Der Ersteller benötigt diese Berechtigung nicht, wenn die SACL des Objekts aus geerbten ACEs erstellt wird.

Das System verwendet einen anderen Algorithmus, um eine SACL für ein neues Active Directory-Objekt zu erstellen. Weitere Informationen finden Sie unter Festlegen von Sicherheitsbeschreibungen für neue Verzeichnisobjekte.