Descripteurs de sécurité pour les nouveaux objets

Lorsque vous créez un objet sécurisable, vous pouvez assigner un descripteur de sécurité au nouvel objet. Les fonctions permettant de créer des objets sécurisables, tels que CreateFile ou RegCreateKeyEx, ont un paramètre qui pointe vers la structure des _ attributs de sécurité qui peut contenir un pointeur vers le descripteur de sécurité du nouvel objet. Pour obtenir un exemple de code qui génère un descripteur de sécurité, puis appelle RegCreateKeyEx pour affecter le descripteur de sécurité à une nouvelle clé de Registre, consultez création d’un descripteur de sécurité pour un nouvel objet en C++.

Le composant système ou le serveur qui gère l’objet peut stocker le descripteur de sécurité spécifié ou par défaut pour en faire un attribut persistant de l’objet. Si le créateur d’un objet ne spécifie pas de descripteur de sécurité, le système utilise les informations de sécurité héritées ou par défaut pour créer un descripteur de sécurité. Vous pouvez utiliser des fonctions pour modifier les informations dans le descripteur de sécurité d’un objet.

Les objets de service d’annuaire, les fichiers, les répertoires, les clés de Registre et les ordinateurs de bureau sont des objets sécurisables qui peuvent avoir un objet parent. Lorsque vous créez l’un de ces objets, le système recherche les ACE pouvant être héritées dans le descripteur de sécurité de l’objet parent. Le système fusionne généralement les ACE pouvant être héritées dans les listes de contrôle d’accès du descripteur de sécurité du nouvel objet. vous pouvez empêcher une liste dacl ou SACL d’hériter des entrées du contrôle d’accès en définissant la SE _ liste de _ contrôle d’accès discrétionnaire protégée ou SE _ _ bits protégés dans les bits de contrôle du descripteur de sécurité. Pour plus d’informations, consultez héritage de l’entréedu contrôle d’accès.