安全描述符组件

使用 IADs.Get 方法获取 IADsSecurityDescriptor 接口指针后，就可以使用 IADsSecurityDescriptor 属性来读取或写入 Directory 对象安全描述符的组件。 例如，要获取或设置对象的 DACL，请使用 DiscretionaryAcl 属性。

安全描述符可以存储以下数据：

• 标识对象所有者的安全标识符 (SID)：对象所有者拥有修改对象安全描述符中 DACL 和所有者数据的隐式权限。
• 自由访问控制列表 (DACL)，用于标识可对对象执行各种操作的用户和组：DACL 包含访问控制项 (ACE) 列表。 每个 ACE 允许或拒绝特定用户帐户、组帐户或其他受托方的一组特定访问权限。 有关详细信息，请参阅检索对象的 DACL。
• 系统访问控制列表 (SACL)，用于控制系统如何审核访问对象的尝试：SACL 中的每个 ACE 都指定了访问尝试的类型，这些类型会生成指定用户帐户、组帐户或其他受托方的审计日志条目。 有关详细信息，请参阅检索对象的 SACL。
• 一组 SECURITY_DESCRIPTOR_CONTROL 控制标志，用于限定安全描述符或其组件的含义：例如，SE_DACL_PROTECTED 标志可保护安全描述符的 DACL 从其父对象继承 ACE。
• 安全标识符 (SID)，用于标识对象的主组：Active Directory 域服务不使用此组件。

有关可用于读取和显示对象安全描述符和 DACL 中数据的详细信息和代码示例，请参阅读取对象的安全描述符。