访问控制条目
访问控制 项 (ACE) 是 访问控制列表中的 元素, (ACL) 。 ACL 可以有零个或多个 ACE。 每个 ACE 控制或监视指定受托人对对象的访问。 有关在对象的 ACL 中添加、删除或更改 ACL 的信息,请参阅 修改 C++ 中对象的 ACL。
有六种类型的 ACE,其中三种受所有安全对象支持。 其他三种类型是目录服务对象支持的 特定于对象的 ACE 。
所有类型的 ACE 都包含以下访问控制信息:
- 一个 安全标识符 (SID) ,用于标识 ACE 应用到的 受托人 。
- 一个 访问掩码 ,指定 ACE 控制的 访问权限 。
- 指示 ACE 类型的标志。
- 一组位标志,用于确定子容器或对象是否可以从附加 ACL 的主对象继承 ACE。
下表列出了所有安全对象支持的三种 ACE 类型。
| 类型 | 说明 |
|---|---|
| 访问被拒绝的 ACE | 在 自由访问控制列表中 (DACL) 中使用,以拒绝对受托人的访问权限。 |
| 允许访问的 ACE | 在 DACL 中使用,以允许对受托人的访问权限。 |
| 系统审核 ACE | 在 系统访问控制列表中 (SACL) 用于在受托人尝试行使指定访问权限时生成审核记录。 |
有关特定于对象的 ACE 表,请参阅 特定于对象的 ACE。
注意
目前不支持系统警报对象 ACE。