Abrufen von Informationen aus einer ACL
Es werden mehrere Funktionen bereitgestellt, die Zugriffssteuerungsinformationen aus einer Zugriffssteuerungsliste (Access Control List, ACL) abrufen. Dazu gehören Funktionen zum Bestimmen der Zugriffsrechte, die eine Zugriffssteuerungsliste für einen angegebenen Vertrauensnehmergewährt oder überwacht. Mit anderen Funktionen können Sie Informationen zu den Zugriffssteuerungseinträgen (ACEs) in einer Zugriffssteuerungsliste extrahieren.
Die GetExplicitEntriesFromAcl-Funktion ruft ein Array von EXPLICIT _ ACCESS-Strukturen ab, die die ACEs in einer ACL beschreiben. Dies kann beim Kopieren von ACE-Informationen von einer ACL in eine andere nützlich sein. Beispielsweise kann auf einen Aufruf von GetExplicitEntriesFromAcl zum Abrufen von Informationen zu den ACEs in einer ACL gefolgt werden, indem die zurückgegebenen EXPLICIT _ ACCESS-Strukturen in einem Aufruf der SetEntriesInAcl-Funktion übergeben werden, um entsprechende ACEs in einer neuen ACL zu erstellen.
Mit der GetEffectiveRightsFromAcl-Funktion können Sie die effektiven Zugriffsrechte bestimmen, die eine DACL einem angegebenen Vertrauensnehmer gewährt. Die effektiven Zugriffsrechte des Vertrauensnehmers sind die Zugriffsrechte, die eine DACL dem Vertrauensnehmer oder allen Gruppen gewährt, deren Mitglied der Vertrauensnehmer ist. GetEffectiveRightsFromAcl überprüft alle Zugriffsberechtigungen und Zugriffsverweigerungs-ACEs in der angegebenen DACL.
Verwenden Sie die folgenden Schritte, um die Zugriffsrechte eines Vertrauensnehmers auf ein Objekt zu bestimmen.
- Rufen Sie die Funktion GetSecurityInfo oder GetNamedSecurityInfo auf, um einen Zeiger auf die DACL eines Objekts abzurufen.
- Rufen Sie die GetEffectiveRightsFromAcl-Funktion auf, um die Zugriffsrechte abzurufen, die die DACL einem angegebenen Vertrauensnehmer gewährt.
Mit der GetAuditedPermissionsFromAcl-Funktion können Sie eine SACL überprüfen, um die überwachten Zugriffsrechte für einen angegebenen Vertrauensnehmer oder für alle Gruppen zu bestimmen, deren Mitglied der Vertrauensnehmer ist. Die überwachten Rechte geben die Arten von Zugriffsversuchen an, die bewirken, dass das System einen Überwachungsdatensatz im Sicherheitsereignisprotokoll generiert. Die Funktion gibt zwei Zugriffsmaskenzurück: eine mit den Zugriffsrechten, die auf fehlgeschlagene Zugriffsversuche überwacht werden, und eine mit den Zugriffsrechten, die für den erfolgreichen Zugriff überwacht werden. GetAuditedPermissionsFromAcl überprüft alle Systemüberwachungs-ACEs in einer SACL.