Функция SetSecurityDescriptorDacl (securitybaseapi.h)
Функция SetSecurityDescriptorDacl задает сведения в списке управления доступом на уровне пользователей (DACL). Если dacl уже присутствует в дескрипторове безопасности, daCL заменяется.
Синтаксис
BOOL SetSecurityDescriptorDacl(
[in, out] PSECURITY_DESCRIPTOR pSecurityDescriptor,
[in] BOOL bDaclPresent,
[in, optional] PACL pDacl,
[in] BOOL bDaclDefaulted
);
Параметры
[in, out] pSecurityDescriptor
Указатель на структуру SECURITY_DESCRIPTOR , в которую функция добавляет DACL. Этот дескриптор безопасности должен иметь абсолютный формат, то есть его члены должны быть указателями на другие структуры, а не смещения смежных данных.
[in] bDaclPresent
Флаг, указывающий наличие DACL в дескрипторе безопасности. Если этот параметр имеет значение TRUE, функция устанавливает флаг SE_DACL_PRESENT в структуре SECURITY_DESCRIPTOR_CONTROL и использует значения в параметрах pDacl и bDaclDefaulted . Если этот параметр имеет значение FALSE, функция очищает флаг SE_DACL_PRESENT, а pDacl и bDaclDefaulted игнорируются.
[in, optional] pDacl
Указатель на структуру ACL , задающую daCL для дескриптора безопасности. Если этот параметр имеет значение NULL, то дескриптору безопасности назначается СПИСОК DACL NULL , который разрешает всем доступ к объекту . На DACL ссылается дескриптор безопасности, а не копируется в .
[in] bDaclDefaulted
Флаг, указывающий источник DACL. Если этот флаг имеет значение TRUE, daCL был получен каким-то механизмом по умолчанию. Значение FALSE указывает, что daCL явно указан пользователем. Функция сохраняет это значение в флаге SE_DACL_DEFAULTED структуры SECURITY_DESCRIPTOR_CONTROL . Если этот параметр не указан, флаг SE_DACL_DEFAULTED очищается.
Возвращаемое значение
Если функция выполняется успешно, функция возвращает ненулевое значение.
Если функция завершается сбоем, она возвращает ноль. Дополнительные сведения об ошибке можно получить, вызвав GetLastError.
Комментарии
Существует важное различие между пустым и несуществующим DACL. Если DACL пуст, он не содержит записей управления доступом (ACE); таким образом, права доступа явно не предоставляются. В результате доступ к объекту неявно запрещен.
Если объект не имеет DACL (если параметр pDacl имеет значение NULL), ему не назначается защита и предоставляются все запросы на доступ. Чтобы обеспечить безопасность, ограничьте доступ с помощью DACL.
Существует три возможных результата в разных конфигурациях флага bDaclPresent и параметра pDacl :
- Если параметр pDacl указывает на DACL, а флаг bDaclPresent имеет значение TRUE, то daCL указывается и должен содержать ACE, разрешенные для доступа, чтобы разрешить доступ к объекту.
- Если параметр pDacl не указывает на DACL, а флаг bDaclPresent имеет значение TRUE, то указывается NULL DACL. Разрешен любой доступ. Не следует использовать СПИСОК DACL NULL с объектом , так как любой пользователь может изменить DACL и владельца дескриптора безопасности. Это будет препятствовать использованию объекта .
- Если параметр pDacl не указывает на DACL, а флаг bDaclPresent имеет значение FALSE, daCL можно предоставить для объекта с помощью механизма наследования или по умолчанию.
Примеры
Пример использования этой функции см. в разделе Создание дескриптора безопасности для нового объекта.
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента | Windows XP [классические приложения | Приложения UWP] |
| Минимальная версия сервера | Windows Server 2003 [классические приложения | Приложения UWP] |
| Целевая платформа | Windows |
| Header | securitybaseapi.h (включая Windows.h) |
| Библиотека | Advapi32.lib |
| DLL | Advapi32.dll |
См. также раздел
Низкоуровневые контроль доступа
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по