在对象的 ACL 中设置控制访问权限 ACE
使用 ADSI 设置控制访问权限 ACE 就像设置特定属性 ACE 一样,只不过 IADsAccessControlEntry.ObjectType 属性是控制访问权限的 rightsGUID。 请注意,也可以使用 Win32 安全 API 来设置 Directory 对象上的 ACL。
下表列出了用于控制访问权限的 IADsAccessControlEntry 属性,这些属性可用于设置 ACE 的属性。
| properties | 说明 |
|---|---|
| AccessMask | 对于控制对特殊操作的扩展权限访问的控制访问权限,AccessMask 必须包含 ADS_RIGHT_DS_CONTROL_ACCESS 标志。 对于定义属性集的控制访问权限,AccessMask 包含 ADS_RIGHT_DS_READ_PROP 和/或 ADS_RIGHT_DS_WRITE_PROP。 对于控制有效写入的控制访问权限,AccessMask 包含 ADS_RIGHT_DS_SELF。 |
| 标记 | 此值必须包含 ADS_FLAG_OBJECT_TYPE_PRESENT 标志。 |
| ObjectType | 此值必须是控制访问权限的 rightsGUID 属性的 StringFromGUID2 格式。 请注意,在 ACE 中,即使 controlAccessRight 对象的 rightsGUID 属性不包含大括号,GUID 字符串也必须包含起始和终止大括号。 |
| AceType | ADS_ACETYPE_ACCESS_ALLOWED_OBJECT 表示授予受托管理人访问控制权限,或 ADS_ACETYPE_ACCESS_DENIED_OBJECT 表示拒绝受托管理人的控制访问权限。 |
| 托管方 | ACE 应用到的安全主体,例如用户、组、计算机等。 |
有关创建 ACE 的详细信息,请参阅设置对象访问权限。
有关设置 ACE 的详细信息和代码示例,请参阅在 Directory 对象上设置 ACE 的代码示例。