アクセス制御エントリ
アクセス制御エントリ (ACE) は、アクセス制御リスト (ACL) 内の要素です。 ACL には、0 個以上の ACE を含めることができます。 各 ACE は、指定されたトラスティによってオブジェクトへのアクセスを制御または監視します。 オブジェクトの ACL 内の ACE の追加、削除、または変更の詳細については、「C++でのオブジェクトの ACL の変更」を参照してください。
6 種類の ACE があり、そのうちの 3 つがすべてのセキュリティ保護可能なオブジェクトでサポートされています。 他の 3 つの種類は、ディレクトリ サービス オブジェクトでサポート オブジェクト固有の ACE です。
すべての種類の ACE には、次のアクセス制御情報が含まれています。
- ACE が適用される トラスティ を識別する セキュリティ識別子 (SID)。
- ACE によって制御 アクセス権を指定する アクセス マスク。
- ACE の種類を示すフラグ。
- 子コンテナーまたはオブジェクトが ACL がアタッチされているプライマリ オブジェクトから ACE を継承できるかどうかを決定するビット フラグのセット。
次の表に、セキュリティ保護可能なすべてのオブジェクトでサポートされる 3 つの ACE の種類を示します。
種類 | 形容 |
---|---|
アクセス拒否 ACE | トラスティへのアクセス権を拒否するために、随意アクセス制御リスト (DACL) で使用されます。 |
アクセス許可 ACE | トラスティへのアクセス権を許可するために DACL で使用されます。 |
システム監査 ACE | トラスティが指定されたアクセス権を行使しようとしたときに監査レコードを生成するために、システム アクセス制御リスト (SACL) で使用されます。 |
オブジェクト固有の ACE のテーブルについては、オブジェクト固有の ACE を参照してください。
手記
システム アラーム オブジェクト ACE は現在サポートされていません。