Freigeben über

Anhang A: SDDL für obligatorische Bezeichnungen

  • Artikel

Die SDDL ist eine bequeme Möglichkeit, Zugriffsberechtigungen in einem Zeichenfolgenformat darzustellen. SDDL definiert ACE- und SID-Zeichenfolgen, um Felder von Zugriffssteuerungseinträgen darzustellen. Sie können die Funktionen ConvertSecurityDescriptorToStringSecurityDescriptor und ConvertStringSecurityDescriptorToSecurityDescriptor verwenden, um die obligatorische Bezeichnung ACE aus einer Binärdatei in ein Zeichenfolgenformat und zurück zu konvertieren.

Die Definitionen für SDDL-Zeichenfolgen befinden sich in der Headerdatei sddl.h.

Die SDDL-Zeichenfolge für eine obligatorische Bezeichnung ACE ist wie folgt definiert:

#define SDDL_MANDATORY_LABEL        TEXT("ML") // Integrity label
The SDDL strings for the mandatory label policy flags, which are in the access mask, are the following:
#define SDDL_NO_WRITE_UP          TEXT("NW")
#define SDDL_NO_READ_UP           TEXT("NR")
#define SDDL_NO_EXECUTE_UP         TEXT("NX")
The SDDL SID strings for the integrity levels are the following:
#define SDDL_ML_LOW          TEXT("LW")
#define SDDL_ML_MEDIUM          TEXT("ME")
#define SDDL_ML_HIGH          TEXT("HI")
#define SDDL_ML_SYSTEM          TEXT("SI")

Ein Beispiel für die SDDL für eine obligatorische Bezeichnung ACE in einer SACL, die NO_WRITE_UP Richtlinie für niedrige Integritätsebene angibt, ist folgendes: S:(ML;; NW;;; LW).

Sie können SDDL-Zeichenfolgen mit der Funktion ConvertStringSecurityDescriptorToSecurityDescriptor verwenden, um einen Sicherheitsdeskriptor mit einer expliziten obligatorischen Bezeichnung zu initialisieren, die als Sicherheitsattributeparameter beim Erstellen eines neuen Objekts, z. B. einer Datei, mit CreateFile verwendet werden kann.

Hinweis

Wenn Sie ConvertSecurityDescriptorToStringSecurityDescriptor verwenden, geben Sie das neue Sicherheitsinformationsflag LABEL_SECURITY_INFORMATION an, um eine explizite obligatorische Bezeichnung in das Äquivalent der SDDL-Zeichenfolge zu konvertieren. Ohne das flag LABEL_SECURITY_INFORMATION wird eine obligatorische Bezeichnung, sofern vorhanden, nicht im SACL-Teil der Zeichenfolge angezeigt.