Freigeben über


SECURITY_DESCRIPTOR_CONTROL

Der SECURITY_DESCRIPTOR_CONTROL Datentyps besteht aus einer Reihe von Bitflags, die die Bedeutung eines Sicherheitsdeskriptors oder seiner Komponenten qualifizieren. Jeder Sicherheitsdeskriptor verfügt über ein Control-Element , das die SECURITY_DESCRIPTOR_CONTROL Bits speichert.

typedef WORD SECURITY_DESCRIPTOR_CONTROL, *PSECURITY_DESCRIPTOR_CONTROL;

Bemerkungen

Um die Steuerbits eines Sicherheitsdeskriptors abzurufen, rufen Sie die GetSecurityDescriptorControl-Funktion auf. Verwenden Sie die Funktionen zum Ändern von Sicherheitsbeschreibungen, um die Steuerungsbits eines Sicherheitsdeskriptors festzulegen. Eine Liste dieser Funktionen finden Sie im Abschnitt Siehe auch.

Anwendungen können die SetSecurityDescriptorControl-Funktion verwenden, um die Steuerbits festzulegen, die sich auf die automatische Vererbung von ACEs beziehen.

Der von der GetSecurityDescriptorControl-Funktion abgerufene Steuerelementwert kann eine Kombination der folgenden SECURITY_DESCRIPTOR_CONTROL Bitflags enthalten.

Wert Bedeutung
SE_DACL_AUTO_INHERIT_REQ
0x0100
Gibt einen erforderlichen Sicherheitsdeskriptor an, in dem die daCL (Discretionary Access Control List ) eingerichtet ist, um die automatische Weitergabe von vererbbaren Zugriffssteuerungseinträgen (ACEs) an vorhandene untergeordnete Objekte zu unterstützen.
Für Zugriffssteuerungslisten (Access Control Lists , ACLs), die die automatische Vererbung unterstützen, wird dieses Bit immer festgelegt. Geschützte Server können die ConvertToAutoInheritPrivateObjectSecurity-Funktion aufrufen, um einen Sicherheitsdeskriptor zu konvertieren und dieses Flag festzulegen.
SE_DACL_AUTO_INHERITED
0x0400
Gibt einen Sicherheitsdeskriptor an, in dem die daCL (Discretionary Access Control List ) eingerichtet ist, um die automatische Weitergabe von vererbbaren Zugriffssteuerungseinträgen (ACEs) an vorhandene untergeordnete Objekte zu unterstützen.
Für Zugriffssteuerungslisten (Access Control Lists , ACLs), die die automatische Vererbung unterstützen, wird dieses Bit immer festgelegt. Geschützte Server können die ConvertToAutoInheritPrivateObjectSecurity-Funktion aufrufen, um einen Sicherheitsdeskriptor zu konvertieren und dieses Flag festzulegen.
SE_DACL_DEFAULTED
0x0008
Gibt einen Sicherheitsdeskriptor mit einer Standard-DACL an. Wenn der Ersteller beispielsweise keine DACL angibt, empfängt das Objekt die Standard-DACL vom Zugriffstoken des Erstellers. Dieses Flag kann beeinflussen, wie das System die DACL in Bezug auf die ACE-Vererbung behandelt. Das System ignoriert dieses Flag, wenn das flag SE_DACL_PRESENT nicht festgelegt ist.
Dieses Flag wird verwendet, um zu bestimmen, wie die endgültige DACL für das Objekt berechnet werden soll, und nicht physisch in der Sicherheitsbeschreibungssteuerung des sicherungsfähigen Objekts gespeichert wird.
Verwenden Sie zum Festlegen dieses Flags die SetSecurityDescriptorDacl-Funktion .
SE_DACL_PRESENT
0x0004
Gibt einen Sicherheitsdeskriptor an, der über eine DACL verfügt. Wenn dieses Flag nicht festgelegt ist oder wenn dieses Flag festgelegt ist und die DACL NULL ist, ermöglicht der Sicherheitsdeskriptor vollzugriff für alle Benutzer.
Dieses Flag wird verwendet, um die von einem Aufrufer angegebenen Sicherheitsinformationen zu enthalten, bis der Sicherheitsdeskriptor einem sicherungsfähigen Objekt zugeordnet ist. Nachdem der Sicherheitsdeskriptor einem sicherungsfähigen Objekt zugeordnet wurde, wird das SE_DACL_PRESENT-Flag immer im Sicherheitsdeskriptor-Steuerelement festgelegt.
Verwenden Sie zum Festlegen dieses Flags die SetSecurityDescriptorDacl-Funktion .
SE_DACL_PROTECTED
0x1000
Verhindert, dass die DACL des Sicherheitsdeskriptors durch vererbbare ACEs geändert wird. Verwenden Sie zum Festlegen dieses Flags die SetSecurityDescriptorControl-Funktion .
SE_GROUP_DEFAULTED
0x0002
Gibt an, dass die Sicherheits-ID (SID) der Sicherheitsbeschreibungsgruppe von einem Standardmechanismus bereitgestellt wurde. Dieses Flag kann von einem Ressourcen-Manager verwendet werden, um Objekte zu identifizieren, deren Sicherheitsbeschreibungsgruppe durch einen Standardmechanismus festgelegt wurde. Verwenden Sie zum Festlegen dieses Flags die SetSecurityDescriptorGroup-Funktion .
SE_OWNER_DEFAULTED
0x0001
Gibt an, dass die SID des Besitzers des Sicherheitsdeskriptors von einem Standardmechanismus bereitgestellt wurde. Dieses Flag kann von einem Ressourcen-Manager verwendet werden, um Objekte zu identifizieren, deren Besitzer durch einen Standardmechanismus festgelegt wurde. Verwenden Sie zum Festlegen dieses Flags die SetSecurityDescriptorOwner-Funktion .
SE_RM_CONTROL_VALID
0x4000
Gibt an, dass das Resource Manager-Steuerelement gültig ist.
SE_SACL_AUTO_INHERIT_REQ
0x0200
Gibt einen erforderlichen Sicherheitsdeskriptor an, in dem die Systemzugriffssteuerungsliste (SACL) eingerichtet ist, um die automatische Weitergabe vererbbarer ACEs an vorhandene untergeordnete Objekte zu unterstützen.
Das System legt dieses Bit fest, wenn es den automatischen Vererbungsalgorithmus für das Objekt und seine vorhandenen untergeordneten Objekte ausführt. Um einen Sicherheitsdeskriptor zu konvertieren und dieses Flag festzulegen, können geschützte Server die ConvertToAutoInheritPrivateObjectSecurity-Funktion aufrufen.
SE_SACL_AUTO_INHERITED
0x0800
Gibt einen Sicherheitsdeskriptor an, in dem die Systemzugriffssteuerungsliste (SACL) eingerichtet ist, um die automatische Weitergabe vererbbarer ACEs an vorhandene untergeordnete Objekte zu unterstützen.
Das System legt dieses Bit fest, wenn es den automatischen Vererbungsalgorithmus für das Objekt und seine vorhandenen untergeordneten Objekte ausführt. Um einen Sicherheitsdeskriptor zu konvertieren und dieses Flag festzulegen, können geschützte Server die ConvertToAutoInheritPrivateObjectSecurity-Funktion aufrufen.
SE_SACL_DEFAULTED
0x0008
Ein Standardmechanismus anstelle des ursprünglichen Anbieters des Sicherheitsdeskriptors hat die SACL bereitgestellt. Dieses Flag kann sich darauf auswirken, wie das System die SACL in Bezug auf die ACE-Vererbung behandelt. Das System ignoriert dieses Flag, wenn das flag SE_SACL_PRESENT nicht festgelegt ist. Verwenden Sie zum Festlegen dieses Flags die SetSecurityDescriptorSacl-Funktion .
SE_SACL_PRESENT
0x0010
Gibt einen Sicherheitsdeskriptor an, der über eine SACL verfügt. Verwenden Sie zum Festlegen dieses Flags die SetSecurityDescriptorSacl-Funktion .
SE_SACL_PROTECTED
0x2000
Verhindert, dass die SACL des Sicherheitsdeskriptors durch vererbbare ACEs geändert wird. Verwenden Sie zum Festlegen dieses Flags die SetSecurityDescriptorControl-Funktion .
SE_SELF_RELATIVE
0x8000
Gibt einen selbstrelativen Sicherheitsdeskriptor an. Wenn dieses Flag nicht festgelegt ist, weist der Sicherheitsdeskriptor ein absolutes Format auf. Weitere Informationen finden Sie unter Absolute und Self-Relative Sicherheitsdeskriptoren.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server)
Windows Server 2003 [nur Desktop-Apps]
Header
Winnt.h (windows.h einschließen)

Siehe auch

Low-Level-Access Control

Grundlegende Access Control Strukturen

ConvertToAutoInheritPrivateObjectSecurity

GetSecurityDescriptorControl

GetSecurityDescriptorDacl

GetSecurityDescriptorGroup

GetSecurityDescriptorOwner

GetSecurityDescriptorSacl

SetSecurityDescriptorControl

SetSecurityDescriptorDacl

SetSecurityDescriptorGroup

SetSecurityDescriptorOwner

SetSecurityDescriptorSacl