Beveiligingsdescriptors

Een beveiligingsdescriptor bevat de beveiligingsgegevens die zijn gekoppeld aan een beveiligbaar object. Een beveiligingsdescriptor bestaat uit een SECURITY_DESCRIPTOR structuur en de bijbehorende beveiligingsgegevens. Een beveiligingsdescriptor kan de volgende beveiligingsgegevens bevatten:

• Beveiligings-id's (SID's) voor de eigenaar en primaire groep van een object.
• Een DACL- die aangeeft welke toegangsrechten zijn toegestaan of geweigerd voor bepaalde gebruikers of groepen.
• Een SACL- waarmee de typen toegangspogingen worden opgegeven waarmee controlerecords voor het object worden gegenereerd.
• Een set controle-bits die de betekenis van een beveiligingsdescriptor of de bijbehorende afzonderlijke leden kwalificeren.

Toepassingen mogen de inhoud van een beveiligingsdescriptor niet rechtstreeks manipuleren. De Windows-API biedt functies voor het instellen en ophalen van de beveiligingsgegevens in de beveiligingsdescriptor van een object. Daarnaast zijn er functies voor het maken en initialiseren van een beveiligingsdescriptor voor een nieuw object.

Toepassingen die werken met beveiligingsdescriptors op Active Directory-objecten kunnen gebruikmaken van de Windows-beveiligingsfuncties of de beveiligingsinterfaces die worden geleverd door de Active Directory Service Interfaces (ADSI). Zie How Access Control Works in Active Directoryvoor meer informatie over ADSI-beveiligingsinterfaces.