SACL 访问权限

ACCESS_SYSTEM_SECURITY访问权限控制在对象 的安全描述符中获取或设置 SACL 的能力。 仅当请求线程的访问令牌中启用了SE_SECURITY_NAME权限时，系统才授予此 访问权限 。

访问对象的 SACL

1. 调用 AdjustTokenPrivileges 函数以启用SE_SECURITY_NAME特权。
2. 打开对象的句柄时，请求ACCESS_SYSTEM_SECURITY访问权限。
3. 使用 GetSecurityInfo 或 SetSecurityInfo 等函数获取或设置对象的 SACL。
4. 调用 AdjustTokenPrivileges 以禁用SE_SECURITY_NAME特权。

若要使用 GetNamedSecurityInfo 或 SetNamedSecurityInfo 函数访问 SACL，请启用 SE_SECURITY_NAME 特权。 函数在内部请求访问权限。

ACCESS_SYSTEM_SECURITY访问权限在 DACL 中无效，因为 DACL 不控制对 SACL 的访问。 但是，可以使用 SACL 中的ACCESS_SYSTEM_SECURITY访问权限来审核使用访问权限的尝试。