セキュリティ保護可能なオブジェクトを作成するときに、セキュリティ記述子 を新しいオブジェクトに割り当てることができます。 CreateFile や RegCreateKeyExなど、セキュリティ保護可能なオブジェクトを作成するための関数には、新しいオブジェクトのセキュリティ記述子へのポインターを含めることができる SECURITY_ATTRIBUTES 構造体を指すパラメーターがあります。 セキュリティ記述子をビルドし、RegCreateKeyEx を呼び出して新しいレジストリ キーにセキュリティ記述子を割り当てるサンプル コードについては、「C++での新しいオブジェクトのセキュリティ記述子の作成」を参照してください。
オブジェクトを管理するシステム コンポーネントまたはサーバーは、指定されたセキュリティ記述子または既定のセキュリティ記述子を格納して、オブジェクトの永続的な属性にすることができます。 オブジェクトの作成者がセキュリティ記述子を指定しない場合、システムは継承されたセキュリティ情報または既定のセキュリティ情報を使用してセキュリティ記述子を作成します。 関数を使用して、オブジェクトのセキュリティ記述子の情報を変更できます。
ディレクトリ サービス オブジェクト、ファイル、ディレクトリ、レジストリ キー、デスクトップは、親オブジェクトを持つセキュリティ保護可能なオブジェクトです。 これらのオブジェクトのいずれかを作成すると、システムは親オブジェクトのセキュリティ記述子で継承可能な ACE をチェックします。 通常、システムは継承可能な ACE を新しいオブジェクトのセキュリティ記述子の ACL にマージします。 DACL または SACL が ACE を継承するのを防ぐには、セキュリティ記述子の制御ビットにSE_DACL_PROTECTEDまたはSE_SACL_PROTECTEDビットを設定します。 詳細については、ACE 継承 参照してください。