SACL per un nuovo oggetto
Il sistema usa l'algoritmo seguente per compilare un elenco SACL per la maggior parte dei nuovi oggetti a protezione diretta:
- L'elenco SACL dell'oggetto è sacl dal descrittore di sicurezza specificato dall'autore dell'oggetto. Il sistema unisce gli ACL ereditabili nell'elenco SACL specificato, a meno che il bit SE_SACL_PROTECTED non sia impostato nei bit di controllo del descrittore di sicurezza. SYSTEM_RESOURCE_ATTRIBUTE_ACEs e SYSTEM_SCOPED_POLICY_ID_ACEs da un oggetto padre verranno uniti a un nuovo oggetto anche se è impostato il bit SE_SACL_PROTECTED.
- Se l'autore non specifica un descrittore di sicurezza, il sistema compila l'elenco SACL dell'oggetto dagli ACL ereditabili.
- Se non è specificato o ereditato SACL, l'oggetto non dispone di SACL.
Per specificare un sacl per un nuovo oggetto, l'autore dell'oggetto deve disporre del privilegio SE_SECURITY_NAME abilitato. Se l'elenco SACL specificato per un nuovo oggetto contiene solo SYSTEM_RESOURCE_ATTRIBUTE_ACEs, il privilegio di SE_SECURITY_NAME non è obbligatorio. L'autore non ha bisogno di questo privilegio se l'elenco SACL dell'oggetto viene compilato da ACL ereditati.
Il sistema usa un algoritmo diverso per compilare un oggetto SACL per un nuovo oggetto Active Directory. Per altre informazioni, vedere Modalità di impostazione dei descrittori di sicurezza in nuovi oggetti directory.