特定于对象的 ACE

目录服务 (DS) 对象支持特定于对象的特定于对象的 ACE 。 特定于对象的 ACE 包含一个 GUID 的配对,这些 GUID 扩展了 ACE 可以保护对象的方式。

GUID 描述
ObjectType 标识以下项之一:
  • 子对象的类型。 ACE 控制创建指定类型的子对象的权限。 有关详细信息,请参阅 控制 C++ 中的子对象创建
  • 属性集或属性。 ACE 控制读取或写入属性或属性集的权利。 有关详细信息,请参阅 ACE 来控制对对象的属性的访问
  • 一个扩展的右侧。 ACE 控制执行与扩展权限关联的操作的权利。
  • 经过验证的写入。 ACE 控制执行某些写入操作的权利。 这些经过验证的写入权限(在 ACL 编辑器中定义和公开)为已验证的属性写入提供权限,而不是向授予“写入属性”权限的属性提供对任何值的未检查低级别写入权限。
InheritedObjectType 指示可以继承 ACE 的子对象的类型。 继承还由 ACE_HEADER中的继承标志以及对子对象上放置的继承的任何保护来控制。 有关详细信息,请参阅 ACE 继承

 

支持三种类型的特定于对象的 ACE。

备注

目前不支持系统警报对象 ACE。

 

类型 说明
访问被拒绝的对象 ACE 在 DACL 中用于拒绝对对象上设置的属性或属性的受托人访问权限,或将 ACE 继承限制为指定类型的子对象。 使用 ACCESS_DENIED_OBJECT_ACE 结构。
允许访问的对象 ACE 在 DACL 中使用,以允许受托人访问对象上设置的属性或属性,或将 ACE 继承限制为指定类型的子对象。 使用 ACCESS_ALLOWED_OBJECT_ACE 结构。
系统审核对象 ACE 在 SACL 中用于记录受托人访问对象上设置的属性或属性的尝试,或将 ACE 继承限制为指定类型的子对象。 使用 SYSTEM_AUDIT_OBJECT_ACE 结构。

 

任何包含特定于对象的 ACE 的 ACL 都必须使用修订ACL_REVISION_DS。