ACE-Vererbungsregeln
Das System gibt vererbbare Zugriffssteuerungseinträge (ACEs) gemäß einem Satz von Vererbungsregeln an untergeordnete Objekte weiter. Das System platziert geerbte ACEs in der DACL (Discretionary Access Control List) des untergeordneten -Steuerelements gemäß der bevorzugten Reihenfolge von ACEs in einer DACL. Das System legt das _ INHERITED ACE-Flag in allen geerbten ACEs fest.
Die acEs, die von untergeordneten Containerobjekten und untergeordneten Objekten ohne Container geerbt werden, unterscheiden sich abhängig von den Kombinationen von Vererbungsflags. Diese Vererbungsregeln funktionieren sowohl für DACLs als auch für Systemzugriffssteuerungslisten (SACLs).
| Übergeordnetes ACE-Flag | Auswirkung auf die untergeordnete ACL |
|---|---|
| _NUR _ OBJEKTVERERBUNGS-ACE | Untergeordnete Objekte ohne Container: Geerbt als effektiver ACE. Untergeordnete Containerobjekte: Container erben einen ace nur erben, es sei denn, das _ BIT-Flag NO PROPAGATE _ INHERIT ACE ist ebenfalls _ festgelegt. |
| Nur CONTAINER _ INHERIT _ ACE | Untergeordnete Objekte ohne Container: Keine Auswirkung auf das untergeordnete Objekt. Untergeordnete Containerobjekte: Das untergeordnete Objekt erbt einen effektiven ACE. Der geerbte ACE ist vererbbar, es sei denn, das _ BIT-Flag NO PROPAGATE _ INHERIT ACE ist ebenfalls _ festgelegt. |
| CONTAINER _ INHERIT ACE und OBJECT INHERIT _ _ _ ACE | Untergeordnete Objekte ohne Container: Geerbt als effektiver ACE. Untergeordnete Containerobjekte: Das untergeordnete Objekt erbt einen effektiven ACE. Der geerbte ACE ist vererbbar, es sei denn, das _ BIT-Flag NO PROPAGATE _ INHERIT ACE ist ebenfalls _ festgelegt. |
| Keine Vererbungsflags festgelegt | Keine Auswirkungen auf untergeordnete Container oder Nichtcontainerobjekte. |
Wenn ein geerbter ACE ein effektiver ACE für das untergeordnete Objekt ist, ordnet das System alle generischen Rechte den spezifischen Rechten für das untergeordnete Objekt zu. Ebenso ordnet das System generische Sicherheitsbezeichner (SIDs) wie CREATOR _ OWNER der entsprechenden SID zu. Wenn es sich bei einem geerbten ACE um einen ace nur vererbten ACE handelt, bleiben alle generischen Rechte oder generischen SIDs unverändert, sodass sie entsprechend zugeordnet werden können, wenn der ACE von der nächsten Generation von untergeordneten Objekten geerbt wird.
In einem Fall, in dem ein Containerobjekt einen ACE erbt, der sowohl für den Container gültig als auch von seinen Nachfolgern vererbbar ist, kann der Container zwei ACEs erben. Dies tritt auf, wenn der vererbbare ACE generische Informationen enthält. Der Container erbt einen nur erbenden ACE, der die generischen Informationen enthält, und einen effektiven ACE, in dem die generischen Informationen zugeordnet wurden.
Ein objektspezifischer ACE verfügt über einen InheritedObjectType-Member, der eine GUID enthalten kann, um den Objekttyp zu identifizieren, der den ACE erben kann.
Wenn die InheritedObjectType-GUID nicht angegeben ist, sind die Vererbungsregeln für einen objektspezifischen ACE identisch mit denen für einen Standard-ACE.
Wenn die InheritedObjectType-GUID angegeben wird, kann der ACE von Objekten geerbt werden, die mit der GUID übereinstimmen, wenn OBJECT _ INHERIT ACE festgelegt _ ist, und von Containern, die mit der GUID übereinstimmen, wenn CONTAINER _ INHERIT ACE festgelegt _ ist. Beachten Sie, dass derzeit nur DS-Objekte objektspezifische ACEs unterstützen und der DS alle Objekttypen als Container behandelt.