SACL pour un nouvel objet
Le système utilise l’algorithme suivant pour créer une liste SACL pour la plupart des types de nouveaux objets sécurisables :
- La SACL de l’objet est la SACL du descripteur de sécurité spécifié par le créateur de l’objet. Le système fusionne tous les AE hérités dans la liste SACL spécifiée, sauf si le bit SE_SACL_PROTECTED est défini dans les bits de contrôle du descripteur de sécurité. SYSTEM_RESOURCE_ATTRIBUTE_ACEs et les SYSTEM_SCOPED_POLICY_ID_ACEs d’un objet parent sont fusionnés avec un nouvel objet, même si le bit SE_SACL_PROTECTED est défini.
- Si le créateur ne spécifie pas de descripteur de sécurité, le système génère la SACL de l’objet à partir d’ACL pouvant être héritées.
- S’il n’existe aucune SACL spécifiée ou héritée, l’objet n’a pas de SACL.
Pour spécifier une liste SACL pour un nouvel objet, le privilège SE_SECURITY_NAME doit être activé pour le créateur de l’objet. Si la liste SACL spécifiée pour un nouvel objet contient uniquement SYSTEM_RESOURCE_ATTRIBUTE_ACEs, le privilège SE_SECURITY_NAME n’est pas requis. Le créateur n’a pas besoin de ce privilège si la liste SACL de l’objet est générée à partir d’ACL héritées.
Le système utilise un algorithme différent pour créer une liste SACL pour un nouvel objet Active Directory. Pour plus d’informations, consultez Définition des descripteurs de sécurité sur les nouveaux objets d’annuaire.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour