新物件的 SACL
系統會使用下列演算法,為大部分類型的新安全性實體物件建置 SACL:
- 物件的 SACL 是物件建立者所指定 安全性描述元 的 SACL。 除非安全性描述項的控制位中設定了SE_SACL_PROTECTED位,否則系統會將任何可繼承的 ACE 合併至指定的 SACL。 即使已設定SE_SACL_PROTECTED位,也會將父物件的SYSTEM_RESOURCE_ATTRIBUTE_ACEs和SYSTEM_SCOPED_POLICY_ID_ACEs合併到新的物件。
- 如果建立者未指定安全性描述元,系統會從可繼承的 ACE 建置物件的 SACL。
- 如果沒有指定或繼承的 SACL,對象就沒有 SACL。
若要指定新物件的 SACL,物件的建立者必須啟用SE_SECURITY_NAME 权限。 如果新物件的指定 SACL 只包含SYSTEM_RESOURCE_ATTRIBUTE_ACEs,則不需要SE_SECURITY_NAME許可權。 如果物件的 SACL 是從繼承的 ACE 建置,則建立者不需要此許可權。
系統會使用不同的演算法為新的 Active Directory 物件建置 SACL。 如需詳細資訊,請參閱 如何在新的目錄物件上設定安全性描述元。