新しいオブジェクトの DACL

システムは、次のアルゴリズムを使用して、ほとんどの種類の新しいセキュリティ保護可能なオブジェクトの DACL を構築します。

1. オブジェクトの DACL は、オブジェクトの作成者によって指定された セキュリティ記述子 からの DACL です。 システムは、SE_DACL_PROTECTED ビットがセキュリティ記述子の制御ビットに設定されていない限り、継承可能な ACE を指定された DACL にマージします。
2. 作成者がセキュリティ記述子を指定しない場合、システムは継承可能な ACE からオブジェクトの DACL をビルドします。
3. セキュリティ記述子が指定されておらず、継承可能な ACE がない場合、オブジェクトの DACL は、作成者の プライマリ トークンまたは 偽装トークン からの既定の DACL です。
4. 指定、継承、または既定の DACL がない場合、システムは DACL なしでオブジェクトを作成します。これにより、すべてのユーザーがそのオブジェクトに完全にアクセスできるようになります。

システムは別のアルゴリズムを使用して、新しい Active Directory オブジェクトの DACL を構築します。 詳細については、「 新しいディレクトリ オブジェクトでセキュリティ記述子を設定する方法」を参照してください。