新しいオブジェクトの SACL

システムは、次のアルゴリズムを使用して、ほとんどの種類の新しいセキュリティ保護可能なオブジェクトの SACL を構築します。

1. オブジェクトの SACL は、オブジェクトの作成者によって指定された セキュリティ記述子 の SACL です。 SE_SACL_PROTECTED ビットがセキュリティ記述子の制御ビットに設定されていない限り、システムは継承可能な ACE を指定された SACL にマージします。 SE_SACL_PROTECTED ビットが設定されている場合でも、親オブジェクトからのSYSTEM_RESOURCE_ATTRIBUTE_ACEsとSYSTEM_SCOPED_POLICY_ID_ACEsは新しいオブジェクトにマージされます。
2. 作成者がセキュリティ記述子を指定しない場合、システムは継承可能な ACE からオブジェクトの SACL をビルドします。
3. 指定または継承された SACL がない場合、オブジェクトには SACL がありません。

新しいオブジェクトに SACL を指定するには、オブジェクトの作成者にSE_SECURITY_NAME 権限 が有効になっている必要があります。 新しいオブジェクトに指定された SACL にSYSTEM_RESOURCE_ATTRIBUTE_ACEsのみが含まれている場合、SE_SECURITY_NAME特権は必要ありません。 オブジェクトの SACL が継承された ACE からビルドされている場合、作成者はこの特権を必要としません。

システムは、別のアルゴリズムを使用して、新しい Active Directory オブジェクトの SACL を構築します。 詳細については、「 新しいディレクトリ オブジェクトでセキュリティ記述子を設定する方法」を参照してください。