API para trabajar con descriptores de seguridad

Artículo
06/13/2023

Cada objeto de Servicios de dominio de Active Directory tiene un atributo nTSecurityDescriptor que contiene el descriptor de seguridad del objeto. Hay dos formas principales de leer y manipular un descriptor de seguridad de objetos de directorio:

Use el método IADs::Get para recuperar el descriptor de seguridad como un objeto COM ADSI con una interfaz IADsSecurityDescriptor . Las interfaces IADsSecurityDescriptor, IADsAccessControlList e IADsAccessControlEntry se pueden usar para controlar el descriptor de seguridad y sus componentes (ACL, ACL, ETC, etc.). Para obtener más información y un ejemplo de código, vea Uso de IAD para obtener un descriptor de seguridad.
Use el método IDirectoryObject::GetObjectAttributes para recuperar un descriptor de seguridad de objeto como puntero a una estructura de SECURITY_DESCRIPTOR . Use este puntero con una función de control de acceso Win32, como AccessCheck o BuildSecurityDescriptor. Para obtener más información y un ejemplo de código, vea Usar IDirectoryObject para obtener un descriptor de seguridad.

La técnica recomendada y la que usa la mayoría de los ejemplos de código de esta guía es usar las interfaces IAD* porque simplifican el control de descriptores de seguridad, ACL y ACE. En el caso de los programadores de Visual Basic, las interfaces IAD* son la manera más eficaz de controlar los descriptores de seguridad.

La técnica IDirectoryObject es útil cuando se requiere una estructura SECURITY_DESCRIPTOR . Por ejemplo, el ejemplo de código de Comprobación de un derecho de acceso de control en la ACL de un objeto usa este método para recuperar un descriptor de seguridad para pasar a la función AccessCheckByTypeResultList .

Para más información, consulte:

Compartir a través de

API para trabajar con descriptores de seguridad

Comentarios

Recursos adicionales