CreatePrivateObjectSecurityWithMultipleInheritance 函式 (securitybaseapi.h)
CreatePrivateObjectSecurityWithMultipleInheritance 函式會配置並初始化資源管理員呼叫此函式之新私用物件之自我相對安全性描述元。 此函式支援私用物件 (,例如具有附加輔助類別的目錄服務物件,) 由多個物件類型或類別所組成。
語法
BOOL CreatePrivateObjectSecurityWithMultipleInheritance(
[in, optional] PSECURITY_DESCRIPTOR ParentDescriptor,
[in, optional] PSECURITY_DESCRIPTOR CreatorDescriptor,
[out] PSECURITY_DESCRIPTOR *NewDescriptor,
[in, optional] GUID **ObjectTypes,
[in] ULONG GuidCount,
[in] BOOL IsContainerObject,
[in] ULONG AutoInheritFlags,
[in, optional] HANDLE Token,
[in] PGENERIC_MAPPING GenericMapping
);
參數
[in, optional] ParentDescriptor
物件父容器 之安全性描述元 的指標。 如果沒有父容器,則此參數為 NULL。
[in, optional] CreatorDescriptor
物件建立者提供之安全性描述元的指標。 如果物件的建立者未明確傳遞新對象的安全性資訊,這個參數可以是 NULL。 或者,此參數可以指向預設的安全性描述元。
[out] NewDescriptor
要接收新配置之自我相對安全性描述元指標之變數的指標。 當您完成使用安全性描述元時,請呼叫 來釋放它
DestroyPrivateObjectSecurity 函式。
[in, optional] ObjectTypes
GUID 結構的指標數位,可識別與 NewDescriptor 相關聯的物件類型或類別。 對於 Active Directory 物件,此陣列包含物件結構類別和所有附加輔助類別的類別 GUID 指標。 如果對象沒有 GUID,請將 ObjectTypes 設定為 NULL 。
[in] GuidCount
ObjectTypes 參數中存在的 GUID 數目。
[in] IsContainerObject
指定新物件是否可以包含其他物件。 TRUE 的值表示新物件是容器。 FALSE 值表示新物件不是容器。
[in] AutoInheritFlags
一組位旗標,控制 訪問控制專案 (ACE) 繼承自 ParentDescriptor 的方式。 此參數可以是下列值的組合。
| 值 | 意義 |
|---|---|
|
新的 任意訪問控制清單 (DACL) 包含繼承自 ParentDescriptor DACL 的 ACL,以及 CreatorDescriptor DACL 中指定的任何明確 ACE。 如果未設定此旗標,則新的 DACL 不會繼承 ACE。 |
|
新的 系統訪問控制清單 (SACL) 包含繼承自 ParentDescriptor SACL 的 ACE,以及 CREATORDescriptor SACL 中指定的任何明確 ACE。 如果未設定此旗標,新的 SACL 不會繼承 ACE。 |
|
CreatorDescriptor 是 ObjectTypes 所指定物件類型的預設描述元。 因此,如果 ParentDescriptor 針對 ObjectTypes 參數所指定的物件類型,會忽略 CreatorDescriptor。 如果沒有繼承這類 ACE, 則會處理 CreatorDescriptor ,就像未指定此旗標一樣。 |
|
函式不會執行許可權檢查。 如果同時設定SEF_AVOID_OWNER_CHECK旗標, Token 參數可以是 NULL。 此旗標在實作自動繼承時很有用,以避免檢查每個更新子系的許可權。 |
|
函式不會檢查結果 NewDescriptor 中擁有者的有效性,如一節所述。 如果同時設定SEF_AVOID_PRIVILEGE_CHECK旗標, Token 參數可以是 NULL。 |
|
NewDescriptor 的擁有者預設為 ParentDescriptor 的擁有者。 如果未設定, NewDescriptor 的擁有者預設為 Token 參數所指定的 令牌 擁有者。 令牌的擁有者是在令牌本身中指定。 在這兩種情況下,如果 CreatorDescriptor 參數不是 NULL, 則 NewDescriptor 擁有者會設定為 CreatorDescriptor 的擁有者。 |
|
NewDescriptor 群組預設為 ParentDescriptor 的群組。 如果未設定, NewDescriptor 的群組預設為 Token 參數所指定的 令牌 群組。 令牌的群組是在令牌本身中指定。 在任一情況下,如果 CreatorDescriptor 參數不是 NULL, 則 NewDescriptor 群組會設定為 CreatorDescriptor 中的群組。 |
|
具有低於物件之強制層級的主體無法寫入物件。 |
|
具有低於物件之強制層級的主體無法讀取物件。 |
|
具有低於物件之強制層級的主體無法執行 物件。 |
|
系統會忽略 ParentDescriptor 參數所指定的任何限制,以限制呼叫者在 CreatorDescriptor 中指定 DACL 的能力。 |
[in, optional] Token
客戶端進程的存取令牌句柄,其代表正在建立物件。 如果這是 模擬令牌,它必須位於 SecurityIdentification 層級或更高層級。 如需 SecurityIdentification 模擬層級的完整描述,請參閱 SECURITY_IMPERSONATION_LEVEL 列舉類型。
用戶端令牌包含預設安全性資訊,例如預設擁有者、主要群組和 DACL。 如果資訊不在輸入安全性描述元中,此函式會使用這些預設值。 令牌必須開啟才能 TOKEN_QUERY 存取。
如果下列所有條件都成立,則除了 TOKEN_QUERY 存取之外,還必須開啟句柄以供 TOKEN_DUPLICATE 存取。
- 令牌句柄是指主要令牌。
- 令牌的安全性描述元包含一或多個具有 OwnerRights SID 的 ACE。
- 為 CreatorDescriptor 參數指定安全性描述元。
- 此函式的呼叫端不會在 AutoInheritFlags 參數中設定SEF_AVOID_OWNER_RESTRICTION旗標。
[in] GenericMapping
GENERIC_MAPPING 結構的指標,指定每個泛型許可權與物件特定許可權的對應。
傳回值
如果函式成功,函式會傳回非零值。
如果函式失敗,它會傳回零。 呼叫 GetLastError 以取得擴充錯誤資訊。 下表列出一些延伸的錯誤碼及其意義。
| 傳回碼 | Description |
|---|---|
|
函式無法擷取新安全性描述元的主要群組。 |
|
函式無法擷取新安全性描述元的擁有者,也無法將 SID) (安全性 標識碼 指派為擁有者。 針對傳入的令牌驗證擁有者 SID 時,就會發生這種情況。 |
|
函式收到 NULL ,而不是擁有者驗證或 許可權 檢查的令牌。 |
|
正在設定 SACL,SEF_AVOID_PRIVILEGE_CHECK未傳入,而傳入的令牌未啟用SE_SECURITY_NAME。 |
備註
CreatePrivateObjectSecurityEx 函式與在 ObjectTypes 中使用單一 GUID 呼叫 CreatePrivateObjectSecurityWithMultipleInheritance 函式相同。
AutoInheritFlags 與 SECURITY_DESCRIPTOR 結構的 Control 成員中類似的具名位不同。 如需控件位的說明,請參閱 SECURITY_DESCRIPTOR_CONTROL。
如果 AutoInheritFlags 指定SEF_DACL_AUTO_INHERIT位,函式會將下列規則套用至新安全性描述元中的 DACL:
- SE_DACL_AUTO_INHERITED旗標是在新安全性描述元的 Control 成員中設定。
- 不論 CreatorDescriptor 是預設的安全性描述元,還是由建立者明確指定,新安全性描述元的 DACL 都會從 ParentDescriptor 繼承 ACE。 新的 DACL 是父系和建立者 DACL 的組合,如繼承規則所定義。 具體而言,所有子物件或 ObjectTypes 中列出的任何對象類別都可以繼承至 ParentDescriptor 中的任何 ACE,都會套用至新的 DACL。
- 繼承的 ACE 會標示為INHERITED_ACE。
對於 DACL 和 SCL, 將會操作 ParentDescriptor 和 CreatorDescriptor 中特定類型的 ACE,而且可能由 NewDescriptor 中的兩個 ACE 取代。 具體而言,至少包含下列其中一個可對應元素的可繼承 ACE 可能會導致輸出安全性描述元中有兩個 ACE。 可對應的元素包括:
- ACCESS_MASK中的一般訪問許可權
- 建立者擁有者 SID 或建立者群組 SID 作為 ACE 主體標識碼
- ACE,這是原始的複本,但已設定INHERIT_ONLY旗標。 不過,如果下列兩個條件存在,將不會建立此 ACE:
- IsContainerObject 參數為 FALSE。 可繼承的 ACE 在非容器對象上沒有意義。
- 原始 ACE 包含NO_PROPAGATE_INHERIT旗標。 原始 ACE 的目的是要繼承為子系的有效 ACE,但無法繼承到這些子系下方。
- 有效的 ACE,其中已開啟INHERITED_ACE位,且泛型項目會對應至特定元素:
- 泛型訪問許可權會取代為輸入 GenericMapping 中所指出的對應標準和特定訪問許可權。
- 建立者擁有者 SID 會取代為結果 NewDescriptor 中的擁有者
- 建立者群組 SID 會取代為結果 NewDescriptor 中的群組
- 必須包含SE_GROUP_OWNER
- 不得包含SE_GROUP_USE_FOR_DENY_ONLY
若要建立新物件的安全性描述元,請呼叫 CreatePrivateObjectSecurityWithMultipleInheritance ,並將 ParentDescriptor 設定為父容器的安全性描述元,並將 CreatorDescriptor 設定為物件建立者所建議的安全性描述元。
若要確認物件上目前的安全性描述元,請呼叫 CreatePrivateObjectSecurityWithMultipleInheritance ,並將 ParentDescriptor 設定為父容器的安全性描述元,並將 CreatorDescriptor 設定為物件的目前安全性描述元。 此呼叫可確保 ACE 會適當地繼承自父系到子安全性描述元。
如果 CreatorDescriptor 安全性描述元 包含 SACL, 令牌 必須啟用SE_SECURITY_NAME許可權,否則呼叫端必須在 AutoInheritFlags 中指定SEF_AVOID_PRIVILEGE_CHECK旗標。
規格需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 | Windows XP [僅限傳統型應用程式] |
| 最低支援的伺服器 | Windows Server 2003 [僅限傳統型應用程式] |
| 目標平台 | Windows |
| 標頭 | securitybaseapi.h (包括 Windows.h) |
| 程式庫 | Advapi32.lib |
| Dll | Advapi32.dll |