ACE 상속 규칙
시스템은 상속 규칙 집합에 따라 상속 가능한 액세스 제어 항목(ACE)를 자식 개체에 자동으로 전파합니다. 시스템은 자식의 임의 액세스 제어 목록 (DACL)에 상속된 ACE를 DACL 에서 ACE의 우선순위에 따라 배치합니다.
컨테이너형 및 비컨테이너형 자식 개체에서 상속된 ACE는 상속 플래그 조합에 따라 다릅니다. 이러한 상속 규칙은 ACL 및 시스템 액세스 제어 목록(SCL) 모두에서 동일하게 작동합니다.
| 부모 ACE 플래그 | 자식 ACL에 미치는 영향 |
|---|---|
| OBJECT_INHERIT_ACE 전용 | 비컨테이너 자식 개체: 유효 액세스 제어 항목(ACE)으로 상속됩니다. 컨테이너 자식 개체: NO_PROPAGATE_INHERIT_ACE 비트 플래그도 설정되지 않는 한 컨테이너는 상속 전용 ACE를 상속합니다. |
| CONTAINER_INHERIT_ACE 전용 | 비컨테이너 자식 개체: 자식 개체에 영향을 주지 않습니다. 컨테이너 자식 개체: 자식 개체는 유효 ACE를 상속합니다. 상속된 ACE는 NO_PROPAGATE_INHERIT_ACE 비트 플래그도 설정되지 않는 한 상속할 수 있습니다. |
| CONTAINER_INHERIT_ACE 및 OBJECT_INHERIT_ACE | 비컨테이너 자식 개체: 유효 ACE로 상속됩니다. 컨테이너 자식 개체: 자식 개체는 유효 ACE를 상속합니다. 상속된 ACE는 NO_PROPAGATE_INHERIT_ACE 비트 플래그도 설정되지 않는 한 상속할 수 있습니다. |
| 상속 플래그가 설정되지 않음 | 자식 컨테이너 또는 비컨테이너 개체에는 영향을 주지 않습니다. |
상속된 ACE가 자식 개체에 대한 유효 ACE인 경우 시스템은 모든 일반 권한을 자식 개체에 대한 특정 권한에 매핑합니다. 마찬가지로 시스템은 CREATOR_OWNER 같은 일반 SID() 보안 식별자를 적절한 SID에 매핑합니다. 상속된 ACE가 상속 전용 ACE인 경우 제네릭 권한 또는 제네릭 SID는 변경되지 않은 상태로 유지되므로 ACE가 차세대 자식 개체에 상속될 때 적절하게 매핑될 수 있습니다.
컨테이너 개체가 컨테이너에서 유효하고 그 하위 항목으로 상속될 수 있는 ACE를 상속하는 경우, 이 컨테이너는 두 개의 ACE를 상속할 수 있습니다. 상속 가능한 ACE에 제네릭 정보가 포함된 경우 이 문제가 발생합니다. 컨테이너는 제네릭 정보를 포함하는 상속 전용 ACE와, 해당 제네릭 정보가 매핑된 유효 전용 ACE를 상속합니다.
개체별 ACE ACE를 상속할 수 있는 개체의 형식을 식별하는 GUID를 포함할 수 있는 InheritedObjectType 멤버가 있습니다.
InheritedObjectType GUID가 지정되지 않은 경우 개체별 ACE에 대한 상속 규칙은 표준 ACE와 동일합니다.
InheritedObjectType GUID를 지정하면 OBJECT_INHERIT_ACE 설정된 경우 GUID와 일치하는 개체와 CONTAINER_INHERIT_ACE 설정된 경우 GUID와 일치하는 컨테이너에서 ACE를 상속할 수 있습니다. 현재 DS 개체만 개체별 ACE를 지원하며 DS는 모든 개체 형식을 컨테이너로 처리합니다.