DACL für ein neues Objekt

Das System verwendet den folgenden Algorithmus, um eine DACL für die meisten Typen neuer sicherungsfähiger Objekte zu erstellen:

  1. Die DACL des Objekts ist die DACL aus dem Sicherheitsdeskriptor, der vom Ersteller des Objekts angegeben wird. Das System führt alle vererbbaren ACEs mit der angegebenen DACL zusammen, es sei denn, das SE _ DACL _ PROTECTED-Bit wird in den Steuerungsbits der Sicherheitsbeschreibung festgelegt.
  2. Wenn der Ersteller keinen Sicherheitsdeskriptor angibt, erstellt das System die DACL des Objekts aus vererbbaren ACEs.
  3. Wenn kein Sicherheitsdeskriptor angegeben ist und keine vererbbaren ACEs vorhanden sind, ist die DACL des Objekts die Standard-DACL aus dem primären Token oder Identitätswechseltoken des Erstellers.
  4. Wenn keine angegebene, geerbte oder Standard-DACL vorhanden ist, erstellt das System das Objekt ohne DACL, wodurch jeder Vollzugriff auf das Objekt erhält.

Das System verwendet einen anderen Algorithmus, um eine DACL für ein neues Active Directory-Objekt zu erstellen. Weitere Informationen finden Sie unter Festlegen von Sicherheitsbeschreibungen für neue Verzeichnisobjekte.