Настройка ACE прав доступа для управления доступом в ACL объекта
Используя ADSI, вы задаете право управления доступом ACE так же, как и ACE для конкретного свойства, за исключением того, что свойство IADsAccessControlEntry.ObjectType является rightsGUID права доступа. Обратите внимание, что api безопасности Win32 также можно использовать для задания списков управления доступом для объектов каталогов.
В следующей таблице перечислены свойства IADsAccessControlEntry для управления правами доступа, которые можно использовать для задания свойств для ACE.
Свойство | Description |
---|---|
AccessMask | Для управления правами доступа, которые управляют расширенным доступом к специальным операциям, AccessMask должен содержать флаг ADS_RIGHT_DS_CONTROL_ACCESS . Для управления правами доступа, определяющими набор свойств, AccessMask содержит ADS_RIGHT_DS_READ_PROP или ADS_RIGHT_DS_WRITE_PROP. Для управления правами доступа, которые управляют проверенными записью, AccessMask содержит ADS_RIGHT_DS_SELF. |
Flags | Это значение должно содержать флаг ADS_FLAG_OBJECT_TYPE_PRESENT . |
ObjectType | Это значение должно быть форматом StringFromGUID2 атрибута rightsGUID права управления доступом. Помните, что в ACE строка GUID должна включать начальные и завершающие фигурные скобки, даже если атрибут rightsGUID объекта controlAccessRight не включает фигурные скобки. |
AceType | Либо ADS_ACETYPE_ACCESS_ALLOWED_OBJECT предоставить доверенному лицу право управления доступом, либо ADS_ACETYPE_ACCESS_DENIED_OBJECT запретить доверенному лицу право на контроль доступа. |
Попечителя | Субъект безопасности, например пользователь, группа, компьютер и т. д., к которому применяется ACE. |
Дополнительные сведения о создании ACE см. в разделе "Настройка прав доступа к объекту".
Дополнительные сведения и пример кода для настройки ACE см. в примере кода для задания ACE в объекте каталога.