默认安全描述符

使用 Active Directory 域服务,还可以为每种对象类型指定默认安全性。 这可在 Active Directory 架构classSchema 对象定义的 defaultSecurityDescriptor 属性中指定。 如果在对象创建期间未指定安全描述符,则此安全描述符用于为对象提供默认保护。

注意

默认安全描述符中的 ACE 的处理如同将其指定为对象创建一部分一样。 因此,默认 ACE 放置在继承的 ACE 之前,并根据需要将其覆盖。 有关详细信息,请参阅 DACL 中的 ACE 顺序

 

可使用安全描述符定义语言 (SDDL) 以特殊字符串格式指定 defaultSecurityDescriptor。 可以使用两个函数将安全描述符的二进制形式转换为字符串格式,反之亦然。 这些函数包括:

有关详细信息和预定义对象类的默认安全描述符,请参阅 Active Directory 域服务引用的 Active Directory 架构引用中的类引用页。

有关详细信息和读取或修改对象类的 defaultSecurityDescriptor 属性的代码示例,请参阅读取 Object 类的 defaultSecurityDescriptor修改 Object 类的 defaultSecurityDescriptor