安全描述符

安全描述符包含与安全对象关联的安全信息。 安全描述符由 SECURITY_DESCRIPTOR 结构和关联的安全信息组成。 安全描述符可以包含以下安全信息:

  • 对象所有者和主组的安全标识符 (SID) 。
  • 指定允许或拒绝特定用户或组的访问权限的 DACL
  • 一个 SACL ,指定为对象生成审核记录的访问尝试的类型。
  • 一组控制位,用于限定安全描述符或其单个成员的含义。

应用程序不得直接操作安全描述符的内容。 Windows API 提供用于设置和检索对象安全描述符中安全信息的功能。 此外,还有一些函数可用于为新对象创建和初始化安全描述符。

使用 Active Directory 对象的安全描述符的应用程序可以使用 active Directory 服务接口提供的Windows安全功能或安全接口, (ADSI) 。 有关 ADSI 安全接口的详细信息,请参阅 Active Directory 中的访问控制工作原理