新对象的 SACL

系统使用以下算法为大多数类型的新安全对象生成 SACL:

  1. 对象的 SACL 是对象创建者指定的安全描述符中的 SACL。 系统会将任何可继承的 AES 合并到指定的 SACL 中,除非标准版描述符的控制位中设置了 _ SACL _ PROTECTED 位。 即使设置了 SACL PROTECTED 位,来自父对象的 SYSTEM RESOURCE ATTRIBUTE AES 和 _ SYSTEM _ _ _ SCOPED POLICY ID _ AES 标准版 _ _ 也会合并到新 _ _ 对象。
  2. 如果创建者未指定安全描述符,则系统会从可继承的 AES 生成对象的 SACL。
  3. 如果没有指定或继承的 SACL,则对象没有 SACL。

若要指定新对象的 SACL,该对象的创建者必须启用 标准版 _ _ SECURITY NAME特权。 如果新对象的指定 SACL 仅包含 SYSTEM _ RESOURCE _ ATTRIBUTE _ AES,则标准版 _ 安全 _ 名称特权。 如果对象的 SACL 是从继承的 AES 构建的,则创建者不需要此特权。

系统使用不同的算法为新的 Active Directory 对象生成 SACL。 有关详细信息,请参阅如何在新目录对象上设置 安全描述符