新对象的 DACL

系统使用以下算法为大多数类型的新安全对象生成 DACL：

1. 对象的 DACL 是对象创建者指定的 安全描述符 的 DACL。 系统将任何可继承的 ACE 合并到指定的 DACL 中，除非在安全描述符的控制位中设置了SE_DACL_PROTECTED位。
2. 如果创建者未指定安全描述符，系统将从可继承的 ACE 生成对象的 DACL。
3. 如果未指定安全描述符且没有可继承的 ACE，则对象的 DACL 是创建者 主 的默认 DACL 或 模拟令牌。
4. 如果没有指定、继承或默认的 DACL，系统将创建没有 DACL 的对象，这样每个人都可以完全访问该对象。

系统使用不同的算法为新的 Active Directory 对象生成 DACL。 有关详细信息，请参阅 如何在新目录对象上设置安全描述符。