安全描述符
安全描述符包含与安全对象关联的安全信息。 安全描述符由 SECURITY_DESCRIPTOR 结构及其关联的安全信息组成。 安全描述符可以包含以下安全信息:
- 对象的 所有者和主组的安全标识符 (SID) 。
- 一个 DACL ,指定允许或拒绝的特定用户或组的访问权限。
- 一个 SACL,指定为对象生成审核记录的访问尝试的类型。
- 一组控制位,用于限定安全描述符或其单个成员的含义。
应用程序不得直接操作安全描述符的内容。 Windows API 提供用于在对象的安全描述符中设置和检索安全信息的函数。 此外,还有用于为新对象创建和初始化安全描述符的函数。
在 Active Directory 对象上使用安全描述符的应用程序可以使用 Windows 安全功能或 Active Directory 服务接口 (ADSI) 提供的安全接口。 有关 ADSI 安全接口的详细信息,请参阅 访问控制 在 Active Directory 中的工作原理。