Delen via

Absolute en Self-Relative Security Descriptors

  • Artikel

Een beveiligingsdescriptor kan zich in absolute of zelf-relatieve-indeling hebben. In absolute indeling bevat een beveiligingsdescriptor aanwijzers naar de informatie, niet naar de informatie zelf. In een zelf-relatieve indeling slaat een beveiligingsdescriptor een SECURITY_DESCRIPTOR structuur en bijbehorende beveiligingsinformatie op in een aaneengesloten blok geheugen. Als u wilt bepalen of een beveiligingsdescriptor zichzelf relatief of absoluut is, roept u de functie GetSecurityDescriptorControl aan en controleert u de SE_SELF_RELATIVE vlag van de parameter SECURITY_DESCRIPTOR_CONTROL. U kunt de functies MakeSelfRelativeSD en MakeAbsoluteSD gebruiken voor het converteren tussen deze twee indelingen.

De absolute indeling is handig wanneer u een beveiligingsdescriptor bouwt en aanwijst naar alle onderdelen, bijvoorbeeld wanneer standaardinstellingen voor de eigenaar, groep en discretionaire ACL beschikbaar zijn. In dit geval kunt u de functie InitializeSecurityDescriptor aanroepen om een SECURITY_DESCRIPTOR structuur te initialiseren en vervolgens functies aanroepen zoals SetSecurityDescriptorDacl- om ACL- en SID-aanwijzers toe te wijzen aan de beveiligingsdescriptor.

In zelf-relatieve indeling begint een beveiligingsdescriptor altijd met een SECURITY_DESCRIPTOR structuur, maar de andere onderdelen van de beveiligingsdescriptor kunnen de structuur in elke volgorde volgen. In plaats van geheugenadressen te gebruiken, worden de onderdelen van de beveiligingsdescriptor geïdentificeerd door verschuivingen vanaf het begin van de descriptor. Deze indeling is handig wanneer een beveiligingsdescriptor moet worden opgeslagen op een schijf, moet worden verzonden via een communicatieprotocol of in het geheugen moet worden gekopieerd.

Met uitzondering van MakeAbsoluteSD-, doen alle functies die een beveiligingsdescriptor retourneren dit met behulp van de zelf-relatieve indeling. Beveiligingsdescriptors die als argumenten aan een functie worden doorgegeven, kunnen een zelf-relatieve of absolute vorm zijn. Raadpleeg de documentatie voor de functie voor meer informatie.