Pravidla dědičnosti ACE
Systém automaticky rozšíří zděděditelné položky řízení přístupu (ACL) do podřízených objektů podle sady pravidel dědičnosti. Systém umístí zděděné řízení přístupu do volitelného seznamu řízení přístupu (DACL) dítěte podle upřednostňovaného pořadí řízení přístupu v seznamu DACL.
ACE položky zděděné kontejnerovými a nekontejnerovými podřízenými objekty se liší v závislosti na kombinacích příznaků dědičnosti. Tato pravidla dědičnosti fungují stejně pro seznamy řízení přístupu (DACLs) a seznamy řízení přístupu systému (SACLs).
| Příznak řídící ACE | Vliv na dětský seznam ACL |
|---|---|
| pouze OBJECT_INHERIT_ACE | Podřízené objekty ne-kontejnerové: Zděděny jako efektivní ACE. Podřízené objekty kontejneru: Kontejnery dědí pouze ACE, pokud není nastaven příznak bitu NO_PROPAGATE_INHERIT_ACE. |
| pouze CONTAINER_INHERIT_ACE | Podřízené objekty, které nejsou kontejnery: Žádný vliv na podřízený objekt. Podřízené objekty kontejneru: Podřízený objekt dědí efektivní ACE. Dědičný ACE je dědičný, pokud není nastaven také příznak NO_PROPAGATE_INHERIT_ACE. |
| CONTAINER_INHERIT_ACE a OBJECT_INHERIT_ACE | Podřízené nekontejnerové objekty: Zděděno jako efektivní ACE. Podřízené objekty kontejneru: Podřízený objekt dědí efektivní ACE. Zděděná položka ACE je dědičná, pokud není nastaven také příznak bitu NO_PROPAGATE_INHERIT_ACE. |
| Nejsou nastaveny žádné příznaky dědičnosti. | Žádný vliv na podřízený kontejner nebo nekontejnerové objekty. |
Pokud je zděděná ACE efektivní ACE pro podřízený objekt, systém mapuje všechna obecná práva na konkrétní práva podřízeného objektu. Podobně systém mapuje obecné identifikátory zabezpečení (SID), jako jsou CREATOR_OWNER, na příslušný identifikátor SID. Pokud je zděděná ACE pouze zděditelná ACE, zůstanou všechna obecná práva nebo generické SID beze změny, aby je bylo možné správně namapovat při dědění ACE v další generaci podřízených objektů.
V případě, že objekt kontejneru zdědí ACE, který je jak efektivní pro kontejner, tak dědičný jeho potomky, může kontejner zdědit dva ACE. K tomu dochází v případě, že zděditelný záznam ACE obsahuje obecné informace. Kontejner dědí ACE pouze pro dědění, který nese obecné informace, a ACE účinný pouze, kde byly obecné informace namapovány.
objektově specifický ACE má InheritedObjectType člen, který může obsahovat identifikátor GUID k identifikaci typu objektu, který může dědit ACE.
Pokud není zadán identifikátor GUID InheritedObjectType, pravidla dědičnosti pro objektově specifickou ACE jsou stejná jako pro standardní ACE.
Pokud je zadán identifikátor GUID InheritedObjectType, ACE je dědičný pro objekty odpovídající tomuto GUID, pokud je nastavena položka OBJECT_INHERIT_ACE, a pro kontejnery odpovídající tomuto GUID, pokud je nastavena položka CONTAINER_INHERIT_ACE. Poznamenejte si, že objekty DS aktuálně podporují objektově specifické ACE a DS považuje všechny typy objektů za kontejnery.