API для работы с дескрипторами безопасности

Статья
02/14/2024

Каждый объект в службах домен Active Directory имеет атрибут nTSecurityDescriptor, содержащий дескриптор безопасности объекта. Существует два основных способа чтения и управления дескриптором безопасности объекта каталога:

Используйте метод IADs::Get, чтобы получить дескриптор безопасности в качестве com-объекта ADSI с интерфейсом IADsSecurityDescriptor. Интерфейсы IADsSecurityDescriptor, IADsAccessControlList и IADsAccessControlEntry можно использовать для обработки дескриптора безопасности и его компонентов (списки управления доступом, acEs и т. д.). Дополнительные сведения и пример кода см. в разделе "Использование идентификаторов IAD для получения дескриптора безопасности".
Используйте метод IDirectoryObject::GetObjectAttributes, чтобы получить дескриптор безопасности объекта в качестве указателя на структуру SECURITY_DESCRIPTOR. Используйте этот указатель с функцией управления доступом Win32, например AccessCheck или BuildSecurityDescriptor. Дополнительные сведения и пример кода см. в разделе "Использование IDirectoryObject для получения дескриптора безопасности".

Рекомендуемый способ, который используется большинством примеров кода в этом руководстве, — использовать интерфейсы IAD* , так как они упрощают обработку дескрипторов безопасности, списков управления доступом и acEs. Для программистов Visual Basic интерфейсы IAD* являются наиболее эффективным способом обработки дескрипторов безопасности.

Метод IDirectoryObject полезен, если требуется SECURITY_DESCRIPTOR структура. Например, в примере кода проверки прав доступа к элементу управления в ACL объекта используется этот метод для получения дескриптора безопасности для передачи функции AccessCheckByTypeResultList .

Дополнительные сведения см. в разделе:

Поделиться через

API для работы с дескрипторами безопасности

Обратная связь

Дополнительные ресурсы