SACL Access Right

ACCESS_SYSTEM_SECURITYアクセス権は、オブジェクトの セキュリティ記述子で SACL を取得または設定する機能を制御します。 システムは、要求するスレッドのアクセス トークンでSE_SECURITY_NAME特権が有効になっている場合にのみ、この アクセス 権を付与します。

オブジェクトの SACL にアクセスするには

  1. adjustTokenPrivileges 関数を呼び出して、SE_SECURITY_NAME特権を有効にします。
  2. オブジェクトへのハンドルを開いたときに、ACCESS_SYSTEM_SECURITYアクセス権を要求します。
  3. GetSecurityInfo や SetSecurityInfo などの関数を使用して、オブジェクトの SACL を取得または設定します
  4. AdjustTokenPrivileges を呼び出して、SE_SECURITY_NAME特権を無効にします。

GetNamedSecurityInfo 関数または SetNamedSecurityInfo 関数を使用して SACL にアクセスするには、SE_SECURITY_NAME特権を有効にします。 関数は内部的にアクセス権を要求します。

ACCESS_SYSTEM_SECURITYアクセス権は DACL では無効です。DACL は SACL へのアクセスを制御しないためです。 ただし、SACL の ACCESS_SYSTEM_SECURITY アクセス権を使用して、アクセス権の使用試行を監査できます。