如何在新的目錄對象上設定安全性描述元

當您在 Active Directory 網域服務 中建立新的物件時，您可以明確建立安全性描述元，然後將該安全性描述項設定為物件的 nTSecurityDescriptor 屬性。 如需詳細資訊，請參閱 為 New Directory 物件建立安全性描述元。

Active Directory 網域服務 使用下列規則，在新物件的安全性描述元中設定 DACL：

• 如果您在建立物件時明確指定安全性描述元，除非安全性描述元的控制位中設定了SE_DACL_PROTECTED位，否則系統會將父物件中的任何可繼承 ACE 合併至指定的 DACL。
• 如果您未指定安全性描述元，系統會藉由將父物件的任何可繼承 ACE 合併為物件類別之 classSchema 物件的預設 DACL，以建置物件的 DACL。
• 如果架構沒有預設 DACL，則物件的 DACL 是建立者的主要或模擬令牌的預設 DACL。
• 如果沒有指定、繼承或預設的 DACL，系統就會建立沒有 DACL 的物件，讓每個人都能夠完整存取物件。

系統會使用類似的演算法來建置目錄服務物件的 SACL。

新物件之安全性描述元中的擁有者和主要群組會設定為當您建立物件時，在 nTSecurityDescriptor 屬性中指定的值。 如果您未設定這些值，Active Directory 網域服務 請使用下表所列的規則來設定這些值。

規則	描述
負責人	默認安全性描述元中的擁有者會從建立程式的主要或模擬令牌設定為預設擁有者 SID。 對於大部分的使用者，預設擁有者 SID 與識別用戶帳戶的 SID 相同。 請注意，對於屬於內建系統管理員群組成員的使用者，系統會自動將存取令牌中的預設擁有者 SID 設定為系統管理員群組;因此，系統管理員群組成員所建立的物件通常是由系統管理員群組所擁有。 若要在存取令牌中取得或設定預設擁有者，請使用 TOKEN_OWNER 結構呼叫 GetTokenInformation 或 SetTokenInformation 函式。
主要群組	默認安全性描述元中的主要群組會從建立者的主要或模擬令牌設定為預設的主要群組。 請注意，主要群組不會用於 Active Directory 網域服務 的內容中。

 

如需 ACE 繼承的詳細資訊，請參閱 管理員 istration 的繼承和委派。

如需架構中預設安全性描述元的詳細資訊，請參閱 預設安全性描述元。

如需 classSchema 物件的詳細資訊，請參閱 Active Directory 架構。