APIs für die Arbeit mit Sicherheitsdeskriptoren
Jedes Objekt in Active Directory Domain Services verfügt über ein nTSecurityDescriptor-Attribut, das den Objektsicherheitsdeskriptor enthält. Es gibt zwei Hauptmethoden zum Lesen und Bearbeiten eines Verzeichnisobjekt-Sicherheitsdeskriptors:
- Verwenden Sie die IADs::Get-Methode , um den Sicherheitsdeskriptor als ADSI-COM-Objekt mit einer IADsSecurityDescriptor-Schnittstelle abzurufen. Die Schnittstellen IADsSecurityDescriptor, IADsAccessControlList und IADsAccessControlEntry können verwendet werden, um den Sicherheitsdeskriptor und seine Komponenten (ACLs, ACEs usw.) zu verarbeiten. Weitere Informationen und ein Codebeispiel finden Sie unter Verwenden von IADs zum Abrufen eines Sicherheitsdeskriptors.
- Verwenden Sie die IDirectoryObject::GetObjectAttributes-Methode , um einen Objektsicherheitsdeskriptor als Zeiger auf eine SECURITY_DESCRIPTOR-Struktur abzurufen. Verwenden Sie diesen Zeiger mit einer Win32-Zugriffssteuerungsfunktion, z. B . AccessCheck oder BuildSecurityDescriptor. Weitere Informationen und ein Codebeispiel finden Sie unter Verwenden von IDirectoryObject zum Abrufen eines Sicherheitsdeskriptors.
Die empfohlene Methode und die von den meisten Codebeispielen in diesem Handbuch verwendete Methode besteht darin, die IADs* -Schnittstellen zu verwenden, da sie die Behandlung von Sicherheitsdeskriptoren, ACLs und ACEs vereinfachen. Für Visual Basic-Programmierer sind die IADs* -Schnittstellen die effizienteste Möglichkeit, Sicherheitsdeskriptoren zu verarbeiten.
Das IDirectoryObject-Verfahren ist nützlich, wenn eine SECURITY_DESCRIPTOR Struktur erforderlich ist. Das Codebeispiel in Überprüfen eines Zugriffsberechtigungssteuerelements in der ACL eines Objekts verwendet diese Methode, um einen Sicherheitsdeskriptor abzurufen, der an die AccessCheckByTypeResultList-Funktion übergeben werden soll.
Weitere Informationen finden Sie unter
- Verwenden von IADs zum Abrufen eines Sicherheitsdeskriptors
- Verwenden von IDirectoryObject zum Abrufen eines Sicherheitsdeskriptors
- Sicherheitsdeskriptorkomponenten
- Abrufen der DACL eines Objekts
- Abrufen der SACL eines Objekts
- Lesen der Sicherheitsbeschreibung eines Objekts
- Beispielcode zum Erstellen eines Sicherheitsdeskriptors
- Beispielcode zum Auflisten der ACL eines Objekts in Active Directory Domain Services