Schützen von Objekten vor den Auswirkungen geerbter Rechte

Wie im Thema Vererbung und Delegierung der Verwaltung erläutert,können ACEs für ein Containerobjekt festgelegt werden, z. B. eine organizationalUnit, domainDNS, container und so weiter, und auf der Grundlage der für diese ACEs festgelegten ACE-Flags an untergeordnete Objekte propagiert werden.

Wenn Sie über ein sicheres Objekt oder ein Objekt verfügen, dessen ACEs Sie explizit steuern möchten, z. B. eine private Organisationseinheit oder ein spezieller Benutzer, können Sie verhindern, dass ACEs durch den übergeordneten Container oder die Vorgänger des übergeordneten Containers an das Objekt propagiert werden.

Verwenden Sie die IADsSecurityDescriptor.Control-Eigenschaft, um zu steuern, ob DACLs und SACLs vom Objekt aus dem übergeordneten Container geerbt werden.

Die IADsSecurityDescriptor.Control-Eigenschaft kann verwendet werden, um ein Objekt vor den Auswirkungen geerbter ACEs zu schützen. Die folgenden Flags erzwingen, dass die Zugriffssteuerung explizit für das Objekt festgelegt wird, und verhindern, dass ein Benutzer die Zugriffssteuerung auf das Objekt ändert, indem er vererbbare ACEs für den übergeordneten Container des Objekts oder die Vorgänger des übergeordneten Containers festlegen.

Flag Beschreibung
_SE DACL _ PROTECTED
Verhindert, dass ACEs, die für die DACL des übergeordneten Containers festgelegt sind, und alle Objekte über dem übergeordneten Container in der Verzeichnishierarchie auf die Objekt-DACL angewendet werden.
_SE SACL _ PROTECTED
Verhindert, dass ACEs, die für die SACL des übergeordneten Containers festgelegt sind, und alle Objekte über dem übergeordneten Container in der Verzeichnishierarchie auf das Objekt SACL angewendet werden.

Beachten Sie, dass das SE _ DACL _ PRESENT-Flag vorhanden sein muss, um SE _ DACL _ PROTECTED und SE _ SACL _ PRESENT zum Festlegen von _ SACL PROTECTED _ SE.