SACL pour un nouvel objet
Le système utilise l’algorithme suivant pour créer une liste SACL pour la plupart des types de nouveaux objets sécurisables :
- La SACL de l’objet est la SACL du descripteur de sécurité spécifié par le créateur de l’objet. Le système fusionne tous les AE hérités dans la liste SACL spécifiée, sauf si le bit SE_SACL_PROTECTED est défini dans les bits de contrôle du descripteur de sécurité. SYSTEM_RESOURCE_ATTRIBUTE_ACEs et les SYSTEM_SCOPED_POLICY_ID_ACEs d’un objet parent sont fusionnés avec un nouvel objet, même si le bit SE_SACL_PROTECTED est défini.
- Si le créateur ne spécifie pas de descripteur de sécurité, le système génère la SACL de l’objet à partir d’ACL pouvant être héritées.
- S’il n’existe aucune SACL spécifiée ou héritée, l’objet n’a pas de SACL.
Pour spécifier une liste SACL pour un nouvel objet, le privilège SE_SECURITY_NAME doit être activé pour le créateur de l’objet. Si la liste SACL spécifiée pour un nouvel objet contient uniquement SYSTEM_RESOURCE_ATTRIBUTE_ACEs, le privilège SE_SECURITY_NAME n’est pas requis. Le créateur n’a pas besoin de ce privilège si la liste SACL de l’objet est générée à partir d’ACL héritées.
Le système utilise un algorithme différent pour créer une liste SACL pour un nouvel objet Active Directory. Pour plus d’informations, consultez Définition des descripteurs de sécurité sur les nouveaux objets d’annuaire.