安全描述符

每个对象都有一个 安全描述符，其中包含对象的安全设置。 在内核模式下，不透明的 SECURITY_DESCRIPTOR 数据类型表示安全描述符。

安全描述符中的信息存储在 访问控制列表中 ， (ACL) 。 访问控制列表由一系列 访问控制条目 组成， (ACE) 。

安全描述符有两个单独的 ACL：

• 系统 ACL (SACL) ，用于确定对对象记录哪些操作。

• 可自由支配的 ACL (DACL) ，它确定哪些用户可以对对象执行特定操作。

通常，驱动程序开发人员只关注可自由支配的 ACL。 有关系统 ACL 的详细信息，请参阅Microsoft Windows SDK。

对于任意 ACL，每个 ACE 都包含三条信息：

• SID) (安全标识符 。 安全标识符确定 ACE 适用于谁。 SID 可以表示单个用户或一组用户。 例如，World SID 表示所有用户的集合。

• 一组访问权限。 有关访问权限的说明，请参阅 访问权限。

• 是授予还是拒绝了访问权限集。

对于驱动程序，最重要的安全描述符是驱动程序的设备对象的安全描述符。 有关详细信息，请参阅 保护设备对象。

有关安全描述符的一般信息，请参阅 Windows SDK。