Condividi tramite


Regole di ereditarietà ACE

Il sistema propaga voci di controllo di accesso ereditabili agli oggetti figlio in base a un set di regole di ereditarietà. Il sistema inserisce gli ACL ereditati nell'elenco di controllo di accesso discrezionale (DACL) dell'elemento figlio in base all'ordine preferito degli ACL in un DACL. Il sistema imposta il flag INHERITED_ACE in tutti gli ACL ereditati.

Gli ACL ereditati da oggetti figlio contenitore e non contenitore differiscono, a seconda delle combinazioni di flag di ereditarietà. Queste regole di ereditarietà funzionano allo stesso modo sia per gli elenchi di controllo di accesso di sistema (SACLs).

Flag ACE padre Effetto sull'ACL figlio
solo OBJECT_INHERIT_ACE Oggetti figlio non contenitore: ereditati come ace efficaci. Oggetti figlio contenitore: i contenitori ereditano un ace di sola eredita, a meno che non sia impostato anche il flag di bit NO_PROPAGATE_INHERIT_ACE.
solo CONTAINER_INHERIT_ACE Oggetti figlio non contenitore: nessun effetto sull'oggetto figlio. Oggetti figlio contenitore: l'oggetto figlio eredita un ace effettivo. L'ace ereditato è ereditabile a meno che non sia impostato anche il flag di bit NO_PROPAGATE_INHERIT_ACE.
CONTAINER_INHERIT_ACE e OBJECT_INHERIT_ACE Oggetti figlio non contenitore: ereditati come ace efficaci. Oggetti figlio contenitore: l'oggetto figlio eredita un ace effettivo. L'ace ereditato è ereditabile a meno che non sia impostato anche il flag di bit NO_PROPAGATE_INHERIT_ACE.
Nessun set di flag di ereditarietà Nessun effetto sugli oggetti contenitore figlio o non contenitore.

Se un ace ereditato è un ace effettivo per l'oggetto figlio, il sistema esegue il mapping di tutti i diritti generici ai diritti specifici per l'oggetto figlio. Analogamente, il sistema esegue il mapping degli identificatori di sicurezza generici (SID), ad esempio CREATOR_OWNER, al SID appropriato. Se un ACE ereditato è un ace di sola eredita, tutti i diritti generici o i SID generici vengono lasciati invariati in modo che possano essere mappati in modo appropriato quando l'ACE viene ereditato dalla generazione successiva di oggetti figlio.

Per un caso in cui un oggetto contenitore eredita un ace valido sia nel contenitore che eredita dai discendenti, il contenitore può ereditare due ACL. Ciò si verifica se l'ace ereditabile contiene informazioni generica. Il contenitore eredita un ace di sola eredita che contiene le informazioni generiche e un ace valido in cui sono state mappate le informazioni generiche.

Un ace specifico dell'oggetto ha un membro InheritedObjectType che può contenere un GUID per identificare il tipo di oggetto che può ereditare l'ACE.

Se il GUID InheritedObjectType non viene specificato, le regole di ereditarietà per un ACE specifico dell'oggetto sono uguali a quella di un ACE standard.

Se viene specificato il GUID InheritedObjectType , l'ace è ereditabile da oggetti che corrispondono al GUID se OBJECT_INHERIT_ACE è impostato e dai contenitori che corrispondono al GUID se CONTAINER_INHERIT_ACE è impostato. Si noti che attualmente solo gli oggetti DS supportano AE specifici dell'oggetto e DS considera tutti i tipi di oggetto come contenitori.