IADsAccessControlEntry 接口 (iads.h)

IADsAccessControlEntry 接口是一个双接口,使目录客户端能够 (拥有对象的 ACE) 访问和操作各个访问控制项。 ACE 规定谁可以访问对象以及授予的访问权限类型,并指定是否可以将访问控制设置从对象传播到其任何子对象。 ACE 通过此接口公开一组属性以提供此类服务。

一个对象可以具有多个 ACE,每个客户端或一组客户端对应一个 ACE。 ACE 在实现 IADsAccessControlList 接口 (的 ACL) 的访问控制列表中维护。 也就是说,客户端必须使用 ACL 访问 ACE。 若要访问 ACL,请检索实现 IADsSecurityDescriptor 接口的对象的安全描述符。 以下过程介绍如何管理对 ADSI 对象的访问控制。

对于不同的对象类型, 某些 IADsAccessControlEntry 属性值(如 AccessMaskAceFlags)会有所不同。 例如,Active Directory 对象将使用 IADsAccessControlEntry.AccessMask 属性的 ADS_RIGHTS_ENUM枚举的 ADS_RIGHT_GENERIC_READ 成员,但文件对象的等效访问权限FILE_GENERIC_READ。 假定 Active Directory 对象和非 Active Directory 对象的所有属性值都相同是不安全的。 有关详细信息,请参阅 文件和注册表项上的安全描述符

管理对 ADSI 对象的访问控制

  1. 检索实现 IADsSecurityDescriptor 接口的对象的安全描述符。
  2. 从安全描述符检索 ACL。
  3. 使用 ACL 中 对象的 ACE 或 ACE。

将新的或修改后的 ACE 设置为永久性

  1. 将 ACE 添加到 ACL。
  2. 将 ACL 分配给安全描述符。
  3. 将安全描述符提交到目录存储。

继承

IADsAccessControlEntry 接口继承自 IDispatch 接口。

要求

要求
最低受支持的客户端 Windows Vista
最低受支持的服务器 Windows Server 2008
目标平台 Windows
标头 iads.h

另请参阅

IADsSecurityDescriptor

IAccessControlList

IDispatch