시스템은 상속 규칙 집합에 따라 상속 가능한 액세스 제어 항목(ACE)를 자식 개체에 자동으로 전파합니다. 시스템은 자식의 임의 액세스 제어 목록 (DACL)에 상속된 ACE를 DACL 에서 ACE의 우선순위에 따라 배치합니다.
컨테이너형 및 비컨테이너형 자식 개체에서 상속된 ACE는 상속 플래그 조합에 따라 다릅니다. 이러한 상속 규칙은 ACL 및 시스템 액세스 제어 목록(SCL) 모두에서 동일하게 작동합니다.
| 부모 ACE 플래그 | 자식 ACL에 미치는 영향 |
|---|---|
| OBJECT_INHERIT_ACE 전용 | 비컨테이너 자식 개체: 유효 액세스 제어 항목(ACE)으로 상속됩니다. 컨테이너 자식 개체: NO_PROPAGATE_INHERIT_ACE 비트 플래그도 설정되지 않는 한 컨테이너는 상속 전용 ACE를 상속합니다. |
| CONTAINER_INHERIT_ACE 전용 | 비컨테이너 자식 개체: 자식 개체에 영향을 주지 않습니다. 컨테이너 자식 개체: 자식 개체는 유효 ACE를 상속합니다. 상속된 ACE는 NO_PROPAGATE_INHERIT_ACE 비트 플래그도 설정되지 않는 한 상속할 수 있습니다. |
| CONTAINER_INHERIT_ACE 및 OBJECT_INHERIT_ACE | 비컨테이너 자식 개체: 유효 액세스 제어 항목(ACE)으로 상속됩니다. 컨테이너 자식 개체: 자식 개체는 유효 ACE를 상속합니다. 상속된 ACE는 NO_PROPAGATE_INHERIT_ACE 비트 플래그도 설정되지 않는 한 상속할 수 있습니다. |
| 상속 플래그가 설정되지 않음 | 자식 컨테이너 또는 비컨테이너 개체에는 영향을 주지 않습니다. |
상속된 ACE가 자식 개체에 대한 유효 ACE인 경우 시스템은 모든 일반 권한을 자식 개체에 대한 특정 권한에 매핑합니다. 마찬가지로 시스템은 CREATOR_OWNER 같은 일반 SID() 보안 식별자를 적절한 SID에 매핑합니다. 상속된 ACE가 상속 전용 ACE인 경우 제네릭 권한 또는 제네릭 SID는 변경되지 않은 상태로 유지되므로 ACE가 차세대 자식 개체에 상속될 때 적절하게 매핑될 수 있습니다.
컨테이너 개체가 컨테이너에서 유효하고 그 하위 항목으로 상속될 수 있는 ACE를 상속하는 경우, 이 컨테이너는 두 개의 ACE를 상속할 수 있습니다. 상속 가능한 ACE에 제네릭 정보가 포함된 경우 이 문제가 발생합니다. 컨테이너는 제네릭 정보를 포함하는 상속 전용 ACE와, 해당 제네릭 정보가 매핑된 유효 전용 ACE를 상속합니다.
개체별 ACE ACE를 상속할 수 있는 개체의 형식을 식별하는 GUID를 포함할 수 있는 InheritedObjectType 멤버가 있습니다.
InheritedObjectType GUID가 지정되지 않은 경우 개체별 ACE에 대한 상속 규칙은 표준 ACE와 동일합니다.
InheritedObjectType GUID를 지정하면 OBJECT_INHERIT_ACE 설정된 경우 GUID와 일치하는 개체와 CONTAINER_INHERIT_ACE 설정된 경우 GUID와 일치하는 컨테이너에서 ACE를 상속할 수 있습니다. 현재 DS 개체만 개체별 ACE를 지원하며 DS는 모든 개체 형식을 컨테이너로 처리합니다.