Partager via


SACL pour un nouvel objet

Le système utilise l’algorithme suivant pour générer une liste de contrôle d’accès partagé pour la plupart des types de nouveaux objets sécurisables :

  1. La clé SACL de l’objet est la liste de contrôle d’accès partagé de l'du descripteur de sécurité spécifiée par le créateur de l’objet. Le système fusionne les AE héritées dans la liste de contrôle SACL spécifiée, sauf si le bit SE_SACL_PROTECTED est défini dans les bits de contrôle du descripteur de sécurité. SYSTEM_RESOURCE_ATTRIBUTE_ACEs et SYSTEM_SCOPED_POLICY_ID_ACEs d’un objet parent seront fusionnés vers un nouvel objet même si le bit SE_SACL_PROTECTED est défini.
  2. Si le créateur ne spécifie pas de descripteur de sécurité, le système génère la clé SACL de l’objet à partir d’acEs pouvant hériter.
  3. S’il n’y a pas de sacl spécifiée ou héritée, l’objet n’a pas de sacl.

Pour spécifier une liste de contrôle d’accès partagé pour un nouvel objet, le créateur de l’objet doit avoir le privilège SE_SECURITY_NAME activé. Si la liste de contrôle d’accès partagé spécifiée pour un nouvel objet contient uniquement SYSTEM_RESOURCE_ATTRIBUTE_ACEs, le privilège SE_SECURITY_NAME n’est pas obligatoire. Le créateur n’a pas besoin de ce privilège si la liste de contrôle d’accès partagé de l’objet est générée à partir des AE héritées.

Le système utilise un autre algorithme pour générer une liste de contrôle d’accès partagé pour un nouvel objet Active Directory. Pour plus d’informations, consultez Comment les descripteurs de sécurité sont définis sur les nouveaux objets d’annuaire.