新对象的 DACL
系统使用以下算法为大多数类型的新安全对象生成 DACL:
- 对象的 DACL 是由对象的创建者指定的 安全描述符 中的 DACL。 系统会将任何可继承的 ACE 合并到指定的 DACL 中,除非在安全描述符的控制位中设置了SE_DACL_PROTECTED位。
- 如果创建者未指定安全描述符,系统会从可继承的 ACE 生成对象的 DACL。
- 如果未指定安全描述符并且没有可继承的 ACE,则对象的 DACL 是创建者的主令牌或模拟令牌的默认 DACL。
- 如果没有指定的、继承的或默认的 DACL,系统将创建没有 DACL 的对象,这允许所有人完全访问该对象。
系统使用不同的算法为新的 Active Directory 对象生成 DACL。 有关详细信息,请参阅 如何对新目录对象设置安全描述符。