DACL für ein neues Objekt
Das System verwendet den folgenden Algorithmus, um eine DACL für die meisten Arten neuer sicherungsfähiger Objekte zu erstellen:
- Die DACL des Objekts ist die DACL aus dem Sicherheitsdeskriptor, der vom Ersteller des Objekts angegeben. Das System führt alle vererbbaren ACEs mit der angegebenen DACL zusammen, es sei denn, das SE_DACL_PROTECTED Bit wird in den Steuerelementbits des Sicherheitsdeskriptors festgelegt.
- Wenn der Ersteller keinen Sicherheitsdeskriptor angibt, erstellt das System die DACL des Objekts von vererbbaren ACEs.
- Wenn kein Sicherheitsdeskriptor angegeben ist und keine vererbbaren ACEs vorhanden sind, ist die DACL des Objekts die STANDARD-DACL aus dem primären primären oder Identitätswechseltokens des Erstellers.
- Wenn keine angegebene, geerbte oder standardmäßige DACL vorhanden ist, erstellt das System das Objekt ohne DACL, wodurch jeder vollzugriff auf das Objekt hat.
Das System verwendet einen anderen Algorithmus, um eine DACL für ein neues Active Directory-Objekt zu erstellen. Weitere Informationen finden Sie unter Festlegen von Sicherheitsdeskriptoren für neue Verzeichnisobjekte.