Поделиться через


DACL для нового объекта

Система использует следующий алгоритм для создания DACL для большинства типов новых защищаемых объектов:

  1. DACL объекта — это dacl из дескриптора безопасности, заданного создателем объекта. Система объединяет все наследуемые ACE в указанный список DACL, если бит SE_DACL_PROTECTED не задан в битах управления дескриптора безопасности.
  2. Если создатель не указывает дескриптор безопасности, система создает DACL объекта из наследуемых ACE.
  3. Если дескриптор безопасности не указан и отсутствуют наследуемые ACE, daCL объекта является daCL по умолчанию из основногомаркера или токена олицетворения создателя.
  4. Если нет указанных, наследуемых или стандартных DACL, система создает объект без DACL, что позволяет всем пользователям получить полный доступ к объекту.

Система использует другой алгоритм для создания daCL для нового объекта Active Directory. Дополнительные сведения см. в разделе Настройка дескрипторов безопасности в новых объектах каталога.