Compartir a través de


Reglas de herencia de ACE

El sistema propaga las entradas de control de acceso (ACE) herederas a objetos secundarios según un conjunto de reglas de herencia. El sistema coloca las ACE heredadas en la lista de control de acceso discrecional (DACL) del elemento secundario según el orden preferido de los ACA en una DACL. El sistema establece la marca de INHERITED_ACE en todos los ACE heredados.

Los ACA heredados por los objetos secundarios contenedor y no contenedor difieren, en función de las combinaciones de marcas de herencia. Estas reglas de herencia funcionan igual para las DACL y las listas de control de acceso del sistema (SACL).

Marca ACE primaria Efecto en la ACL secundaria
solo OBJECT_INHERIT_ACE Objetos secundarios no contenidos: se hereda como ace eficaz. Objetos secundarios del contenedor: los contenedores heredan una ACE de solo herencia a menos que también se establezca la marca de bits de NO_PROPAGATE_INHERIT_ACE.
solo CONTAINER_INHERIT_ACE Objetos secundarios noncontainer: no hay ningún efecto en el objeto secundario. Objetos secundarios contenedor: el objeto secundario hereda una ACE eficaz. La ACE heredada se puede heredar a menos que también se establezca la marca de bits de NO_PROPAGATE_INHERIT_ACE.
CONTAINER_INHERIT_ACE y OBJECT_INHERIT_ACE Objetos secundarios no contenidos: se hereda como ace eficaz. Objetos secundarios contenedor: el objeto secundario hereda una ACE eficaz. La ACE heredada se puede heredar a menos que también se establezca la marca de bits de NO_PROPAGATE_INHERIT_ACE.
Sin marcas de herencia establecidas No hay ningún efecto en los objetos secundarios contenedor o no contenedor.

Si una ACE heredada es una ACE efectiva para el objeto secundario, el sistema asigna los derechos genéricos a los derechos específicos del objeto secundario. Del mismo modo, el sistema asigna identificadores de seguridad genéricos (SID), como CREATOR_OWNER, al SID adecuado. Si una ACE heredada es una ACE de solo herencia, los derechos genéricos o los SID genéricos se dejan sin cambios para que se puedan asignar adecuadamente cuando la ACE la hereda la próxima generación de objetos secundarios.

Para un caso en el que un objeto contenedor hereda una ACE que es efectiva en el contenedor y que se puede heredar por sus descendientes, el contenedor puede heredar dos ACE. Esto ocurre si la ACE heredable contiene información genérica. El contenedor hereda una ACE de solo herencia que contiene la información genérica y una ACE de solo eficacia en la que se ha asignado la información genérica.

Una ACE específica del objeto tiene un miembro InheritedObjectType que puede contener un GUID para identificar el tipo de objeto que puede heredar la ACE.

Si no se especifica el GUID InheritedObjectType , las reglas de herencia de una ACE específica del objeto son las mismas que para una ACE estándar.

Si se especifica el GUID InheritedObjectType , los objetos QUE coinciden con el GUID si se establece OBJECT_INHERIT_ACE y los contenedores que coinciden con el GUID si se establece CONTAINER_INHERIT_ACE. Tenga en cuenta que actualmente solo los objetos DS admiten AE específicos del objeto y el DS trata todos los tipos de objetos como contenedores.