다음을 통해 공유


ACE 상속 규칙

시스템은 상속 규칙 집합에 따라 상속 가능한 ACL(액세스 제어 항목 )을 자식 개체에 전파합니다. 시스템은 DACL에서 AES의 기본 순서에 따라 자식의 DACL( 임의 액세스 제어 목록 )에 상속된 ACE를 배치합니다. 시스템은 상속된 모든 ACE에서 INHERITED_ACE 플래그를 설정합니다.

컨테이너 및 비컨테이너 자식 개체에서 상속되는 ACE는 상속 플래그의 조합에 따라 다릅니다. 이러한 상속 규칙은 DACL 및 SACL( 시스템 액세스 제어 목록 ) 모두에서 동일하게 작동합니다.

부모 ACE 플래그 자식 ACL에 미치는 영향
OBJECT_INHERIT_ACE 전용 비컨테이너 자식 개체: 유효 ACE로 상속됩니다. 컨테이너 자식 개체: NO_PROPAGATE_INHERIT_ACE 비트 플래그도 설정되지 않는 한 컨테이너는 상속 전용 ACE를 상속합니다.
CONTAINER_INHERIT_ACE 전용 비컨테이너 자식 개체: 자식 개체에 영향을 주지 않습니다. 컨테이너 자식 개체: 자식 개체는 유효 ACE를 상속합니다. 상속된 ACE는 NO_PROPAGATE_INHERIT_ACE 비트 플래그도 설정되지 않는 한 상속할 수 있습니다.
CONTAINER_INHERIT_ACE 및 OBJECT_INHERIT_ACE 비컨테이너 자식 개체: 유효 ACE로 상속됩니다. 컨테이너 자식 개체: 자식 개체는 유효 ACE를 상속합니다. 상속된 ACE는 NO_PROPAGATE_INHERIT_ACE 비트 플래그도 설정되지 않는 한 상속할 수 있습니다.
상속 플래그가 설정되지 않음 자식 컨테이너 또는 비컨테이너 개체에는 영향을 주지 않습니다.

상속된 ACE가 자식 개체에 대한 유효 ACE인 경우 시스템은 모든 제네릭 권한을 자식 개체의 특정 권한에 매핑합니다. 마찬가지로 시스템은 CREATOR_OWNER 같은 일반 SID( 보안 식별자 )를 적절한 SID에 매핑합니다. 상속된 ACE가 상속 전용 ACE인 경우 제네릭 권한 또는 제네릭 SID는 변경되지 않은 상태로 유지되므로 다음 세대의 자식 개체에서 ACE를 상속할 때 적절하게 매핑할 수 있습니다.

컨테이너 개체가 컨테이너에 유효하고 해당 하위 항목에서 상속할 수 있는 ACE를 상속하는 경우 컨테이너는 두 개의 ACE를 상속할 수 있습니다. 상속 가능한 ACE에 제네릭 정보가 포함된 경우 이 문제가 발생합니다. 컨테이너는 제네릭 정보와 제네릭 정보가 매핑된 유효 전용 ACE를 포함하는 상속 전용 ACE를 상속합니다.

개체별 ACE에는 ACE를 상속할 수 있는 개체 유형을 식별하는 GUID를 포함할 수 있는 InheritedObjectType 멤버가 있습니다.

InheritedObjectType GUID를 지정하지 않으면 개체별 ACE에 대한 상속 규칙은 표준 ACE의 상속 규칙과 동일합니다.

InheritedObjectType GUID를 지정하면 OBJECT_INHERIT_ACE 설정된 경우 GUID와 일치하는 개체와 CONTAINER_INHERIT_ACE 설정된 경우 GUID와 일치하는 컨테이너에서 ACE를 상속할 수 있습니다. 현재 DS 개체만 개체별 ACE를 지원하며 DS는 모든 개체 형식을 컨테이너로 처리합니다.