存取控制專案

ACE) (存取控制專案描述與特定 SID 相關聯的存取權限。 作業系統會評估存取控制專案，以根據其認證來計算授與特定程式的有效存取權。 例如，當使用者登入電腦，然後執行程式時，程式會使用與該特定使用者帳戶相關聯的認證。

因此，當程式嘗試開啟物件時，Windows 會將與程式相關聯的認證與與物件相關聯的安全性控制項進行比較。 安全性參考監視器接著會使用 ACE 資訊來判斷是否應該允許或拒絕對指定物件的存取。 因此，ACE 會決定安全性子系統的行為。

下圖說明存取控制專案。

安全性子系統使用五種類型的 ACE。 ACE 結構的 Type 成員會控制 ACE 的解譯。 定義的類型包括：

• ACCESS_ALLOWED_ACE_TYPE—此類型表示 ACE 會指定將授與特定 SID 的存取權限。

• ACCESS_DENIED_ACE_TYPE— 此類型表示 ACE 會指定要拒絕特定 SID 的存取權限。

• SYSTEM_AUDIT_ACE_TYPE—此類型表示 ACE 指定稽核行為。

• SYSTEM_ALARM_ACE_TYPE—此類型表示 ACE 指定警示行為。

• ACCESS_ALLOWED_COMPOUND_ACE_TYPE—此類型表示 ACE 系結至特定伺服器和模擬的實體。

因此，這三種類型是用來控制物件的程式設計存取，而其他兩種則是用來控制存取物件時安全性子系統的稽核和警示行為。 請注意，安全性子系統的實際行為是藉由結合與 物件相關聯之部分或所有 ACE 的資訊來計算。

驅動程式可以使用常式 RtlAddAccessAllowedAce建構ACCESS_ALLOWED_ACE_TYPE存取控制專案。 若要新增其他類型的 ACE 專案，驅動程式寫入器必須建構自己的函式，因為 WDK 不提供任何其他支援常式。