ACE 继承

对象的 ACL 可以包含从其父容器继承的 ACE。 例如,注册表子项可以从注册表层次结构中其上方的项继承 ACE。 同样,NTFS 文件系统中的文件可以从包含它的目录继承 ACE。

ACE 的ACE_HEADER 结构包含一组继承标志,这些标志控制 ACE 继承以及 ACE 对其所附加到的对象的影响。 系统根据 ACE 继承规则解释继承标志和其他继承信息。

这些规则已通过以下功能得到增强:

  • 支持 可继承 ACE 的自动传播
  • 一个标志,用于区分继承的 ACE 和直接应用于对象的 ACE。
  • 特定于对象的 ACE,可用于指定可以继承 ACE 的子对象的类型。
  • 通过在 安全描述符 的控制位中设置SE_DACL_PROTECTED位或SE_SACL_PROTECTED位(SYSTEM_RESOURCE_ATTRIBUTE_ACE和SYSTEM_SCOPED_POLICY_ID_ACE除外)来防止 DACL 或 SACL 继承 ACE。