다음을 통해 공유


새 개체에 대한 SACL

시스템은 다음 알고리즘을 사용하여 대부분의 새 보안 개체 유형에 대한 SACL을 빌드합니다.

  1. 개체의 SACL은 개체 작성자가 지정한 보안 설명자의 SACL입니다. 보안 설명자의 제어 비트에 SE_SACL_PROTECTED 비트가 설정되지 않는 한 시스템은 상속 가능한 모든 ACE를 지정된 SACL에 병합합니다. SE_SACL_PROTECTED 비트가 설정된 경우에도 부모 개체의 SYSTEM_RESOURCE_ATTRIBUTE_ACEs 및 SYSTEM_SCOPED_POLICY_ID_ACEs 새 개체에 병합됩니다.
  2. 작성자가 보안 설명자를 지정하지 않으면 시스템은 상속 가능한 ACE에서 개체의 SACL을 빌드합니다.
  3. 지정되거나 상속된 SACL이 없으면 개체에 SACL이 없습니다.

새 개체에 대한 SACL을 지정하려면 개체의 작성자가 SE_SECURITY_NAME 권한을 사용하도록 설정해야 합니다. 새 개체에 대해 지정된 SACL에 SYSTEM_RESOURCE_ATTRIBUTE_ACEs만 포함된 경우 SE_SECURITY_NAME 권한이 필요하지 않습니다. 개체의 SACL이 상속된 ACE에서 빌드된 경우 작성자는 이 권한이 필요하지 않습니다.

시스템은 다른 알고리즘을 사용하여 새 Active Directory 개체에 대한 SACL을 빌드합니다. 자세한 내용은 새 디렉터리 개체에서 보안 설명자를 설정하는 방법을 참조하세요.