Condividi tramite


SACL per un nuovo oggetto

Il sistema usa l'algoritmo seguente per creare un SACL per la maggior parte dei nuovi oggetti a protezione diretta:

  1. SACL dell'oggetto è sacL dal descrittore di sicurezza specificato dal creatore dell'oggetto. Il sistema unisce tutti gli ACL ereditabili nell'oggetto SACL specificato, a meno che il bit di SE_SACL_PROTECTED non sia impostato nei bit di controllo del descrittore di sicurezza. SYSTEM_RESOURCE_ATTRIBUTE_ACEs e SYSTEM_SCOPED_POLICY_ID_ACEs da un oggetto padre verranno uniti a un nuovo oggetto anche se il bit di SE_SACL_PROTECTED è impostato.
  2. Se l'autore non specifica un descrittore di sicurezza, il sistema compila l'oggetto SACL da ACL ereditabili.
  3. Se non è specificato o ereditato SACL, l'oggetto non ha SACL.

Per specificare un SACL per un nuovo oggetto, l'autore dell'oggetto deve avere il privilegio SE_SECURITY_NAME abilitato. Se l'oggetto SACL specificato per un nuovo oggetto contiene solo SYSTEM_RESOURCE_ATTRIBUTE_ACEs, il privilegio SE_SECURITY_NAME non è obbligatorio. L'autore non ha bisogno di questo privilegio se il SACL dell'oggetto viene creato da ACL ereditati.

Il sistema usa un algoritmo diverso per creare un SACL per un nuovo oggetto Active Directory. Per altre informazioni, vedere How Security Descriptors are Set on New Directory Objects .For more information, see How Security Descriptors are Set on New Directory Objects.