Compartir a través de

Reglas de herencia de ACE

  • Artículo

El sistema propaga automáticamente entradas de control de acceso (ACE) heredables a objetos secundarios según un conjunto de reglas de herencia. El sistema coloca las ACE heredadas en la lista de control de acceso discrecional (DACL) del secundario según el orden preferido de ACE en una DACL.

Las ACE heredadas por los objetos secundario contenedor y no contenedor difieren, dependiendo de las combinaciones de marcas de herencia. Estas reglas de herencia funcionan igual para las DACL y las listas de control de acceso del sistema (SACL).

Marca ACE principal Efecto en la ACL infantil
Solo OBJECT_INHERIT_ACE Objetos secundarios que no son contenedores: Se hereda como ACE efectiva. Objetos secundarios de contenedor: Los contenedores heredan una ACE de solo herencia a menos que el indicador de bit NO_PROPAGATE_INHERIT_ACE también esté activado.
Solo CONTAINER_INHERIT_ACE Objetos secundarios que no son contenedores: Sin efecto sobre el objeto secundario. Objetos secundario contenedor: El objeto secundario hereda una ACE efectiva. La ACE heredada es heredable a menos que el indicador de bit NO_PROPAGATE_INHERIT_ACE también esté activado.
CONTAINER_INHERIT_ACE y OBJECT_INHERIT_ACE Objetos secundarios que no son contenedores: Se hereda como ACE efectiva. Objetos secundario contenedor: El objeto secundario hereda una ACE efectiva. La ACE heredada es heredable a menos que el indicador de bit NO_PROPAGATE_INHERIT_ACE también esté activado.
No hay banderas de herencia establecidas Sin efecto sobre los objetos secundarios contenedores o no contenedores.

Si una ACE heredada es una ACE efectiva para el objeto secundario, el sistema asigna los derechos genéricos a los derechos específicos del objeto secundario. Del mismo modo, el sistema asigna identificadores de seguridad genéricos (SID), como CREATOR_OWNER, al SID adecuado. Si una ACE heredada es una ACE de solo herencia, los derechos genéricos o los SID genéricos no se modifican para que puedan asignarse adecuadamente cuando la ACE sea heredada por la siguiente generación de objetos secundarios.

Para un caso en el que un objeto contenedor hereda una ACE que es efectiva en el contenedor y que se puede heredar por sus descendientes, el contenedor puede heredar dos ACE. Esto ocurre si la ACE heredable contiene información genérica. El contenedor hereda una ACE de solo herencia que contiene la información genérica y una ACE de solo efecto en la que se ha asignado la información genérica.

Una ACE específica de objeto tiene un miembro InheritedObjectType que puede contener un GUID para identificar el tipo de objeto que puede heredar la ACE.

Si no se especifica el GUID InheritedObjectType, las reglas de herencia de una ACE específica del objeto son las mismas que para una ACE estándar.

Si se especifica el GUID InheritedObjectType, el ACE se puede heredar por los objetos que coinciden con el GUID si se establece OBJECT_INHERIT_ACE y los contenedores que coinciden con el GUID si se establece CONTAINER_INHERIT_ACE. Tenga en cuenta que actualmente solo los objetos DS admiten ACE específicas de objetos y el DS trata todos los tipos de objetos como contenedores.