SACL para un nuevo objeto

El sistema usa el siguiente algoritmo para crear una SACL para la mayoría de los tipos de nuevos objetos protegibles:

1. SACL del objeto es la SACL del descriptor de seguridad especificado por el creador del objeto. El sistema combina las ACE heredables en la SACL especificada a menos que el bit de SE_SACL_PROTECTED se establezca en los bits de control del descriptor de seguridad. SYSTEM_RESOURCE_ATTRIBUTE_ACEs y SYSTEM_SCOPED_POLICY_ID_ACEs de un objeto primario se combinarán en un nuevo objeto incluso si se establece el bit de SE_SACL_PROTECTED.
2. Si el creador no especifica un descriptor de seguridad, el sistema compila la SACL del objeto a partir de ace que se pueden heredar.
3. Si no hay ningún SACL especificado o heredado, el objeto no tiene SACL.

Para especificar una SACL para un nuevo objeto, el creador del objeto debe tener habilitado el privilegio SE_SECURITY_NAME. Si el SACL especificado para un nuevo objeto solo contiene SYSTEM_RESOURCE_ATTRIBUTE_ACEs, no se requiere el privilegio SE_SECURITY_NAME. El creador no necesita este privilegio si el SACL del objeto se compila a partir de ace heredadas.

El sistema usa un algoritmo diferente para compilar una SACL para un nuevo objeto de Active Directory. Para obtener más información, vea Cómo se establecen los descriptores de seguridad en objetos de directorio nuevos.