Компоненты дескриптора безопасности

Используя метод IADs.Get для получения указателя интерфейса IADsSecurityDescriptor, можно использовать свойства IADsSecurityDescriptor для чтения или записи компонентов дескриптора безопасности объекта каталога. Например, чтобы получить или задать DACL объекта, используйте свойство DiscretionaryAcl .

Дескриптор безопасности может хранить следующие данные:

• Идентификатор безопасности (SID), определяющий владельца объекта: владелец объекта имеет неявное право изменять данные DACL и владельца в дескрипторе безопасности объекта.
• Список управления доступом (DACL), определяющий пользователей и группы, которые могут выполнять различные операции с объектом: DACL содержит список записей управления доступом (ACEs). Каждый ACE разрешает или запрещает указанный набор прав доступа к указанной учетной записи пользователя, учетной записи группы или другому доверенному лицу. Дополнительные сведения см. в разделе "Извлечение DACL объекта".
• Системный список управления доступом (SACL), который управляет тем, как системный аудит пытается получить доступ к объекту: каждый ACE в SACL указывает типы попыток доступа, которые создают запись журнала аудита для указанной учетной записи пользователя, учетной записи группы или другого доверенного лица. Дополнительные сведения см. в статье о получении SACL объекта.
• Набор флагов управления SECURITY_DESCRIPTOR_CONTROL, которые определяют значение дескриптора безопасности или его компонентов: например, флаг SE_DACL_PROTECTED защищает DACL дескриптора безопасности от наследования acEs от родительского объекта.
• Идентификатор безопасности (SID), определяющий основную группу объекта: домен Active Directory службы не используют этот компонент.

Дополнительные сведения и пример кода, который можно использовать для чтения и отображения данных в дескрипторе безопасности объекта и DACL, см. в разделе "Чтение дескриптора безопасности объекта".