安全描述符 包含与 安全对象关联的安全信息。 安全描述符由 SECURITY_DESCRIPTOR 结构及其关联的安全信息组成。 安全描述符可以包含以下安全信息:
- 对象所有者和主组的安全标识符(SID)。
- DACL,指定允许或拒绝特定用户或组的访问权限。
- SACL,指定为对象生成审核记录的访问尝试的类型。
- 一组控制位,符合安全描述符或其单个成员的含义。
应用程序不得直接作安全描述符的内容。 Windows API 提供用于设置和检索对象安全描述符中安全信息的功能。 此外,还有一些函数可用于为新对象创建和初始化安全描述符。
使用 Active Directory 对象上的安全描述符的应用程序可以使用 Windows 安全功能或 Active Directory 服务接口(ADSI)提供的安全接口。 有关 ADSI 安全接口的详细信息,请参阅 Access Control 如何在 Active Directory中工作。