共用方式為

New 物件的 SACL

  • 發行項

系統會使用下列演算法,為大部分的新安全性實體物件類型建置 SACL:

  1. 物件的 SACL 是物件建立者所指定 之安全性描述元 的 SACL。 除非安全性描述元的控制位中設定SE_SACL_PROTECTED位,否則系統會將任何可繼承的 ACE 合併到指定的 SACL。 即使已設定SE_SACL_PROTECTED位,SYSTEM_RESOURCE_ATTRIBUTE_ACEs和父物件的SYSTEM_SCOPED_POLICY_ID_ACEs也會合並至新的物件。
  2. 如果建立者未指定安全性描述元,則系統會從可繼承的 ACE 建置物件的 SACL。
  3. 如果沒有指定或繼承的 SACL,則物件沒有 SACL。

若要指定新物件的 SACL,物件的建立者必須啟用SE_SECURITY_NAME 許可權 。 如果新物件的指定 SACL 只包含SYSTEM_RESOURCE_ATTRIBUTE_ACEs,則不需要SE_SECURITY_NAME許可權。 如果物件的 SACL 建置自繼承的 ACE,建立者就不需要此許可權。

系統會使用不同的演算法為新的 Active Directory 物件建置 SACL。 如需詳細資訊,請參閱 如何在新的目錄物件上設定安全性描述元