SACL для нового объекта

Система использует следующий алгоритм для создания saCL для большинства типов новых защищаемых объектов:

1. SACL объекта — это saCL из дескриптора безопасности, заданного создателем объекта. Система объединяет все наследуемые ACE в указанный список SACL, если бит SE_SACL_PROTECTED не задан в битах управления дескриптора безопасности. SYSTEM_RESOURCE_ATTRIBUTE_ACEs и SYSTEM_SCOPED_POLICY_ID_ACEs из родительского объекта будут объединены в новый объект, даже если задан бит SE_SACL_PROTECTED.
2. Если создатель не указывает дескриптор безопасности, система создает saCL объекта из наследуемых ACE.
3. Если нет указанного или наследуемого списка SACL, объект не имеет SACL.

Чтобы указать saCL для нового объекта, создатель объекта должен иметь разрешение SE_SECURITY_NAME. Если указанный saCL для нового объекта содержит только SYSTEM_RESOURCE_ATTRIBUTE_ACEs, то привилегия SE_SECURITY_NAME не требуется. Создатель не нуждается в этой привилегии, если saCL объекта создан из унаследованных ACE.

Система использует другой алгоритм для создания списка управления доступом для нового объекта Active Directory. Дополнительные сведения см. в разделе Настройка дескрипторов безопасности в новых объектах каталога.