システムは、次のアルゴリズムを使用して、ほとんどの種類の新しいセキュリティ保護可能なオブジェクトの DACL を構築します。
- オブジェクトの DACL は、オブジェクトの作成者によって指定セキュリティ記述子からの DACL です。 システムは、SE_DACL_PROTECTED ビットがセキュリティ記述子の制御ビットに設定されていない限り、継承可能な ACE を指定された DACL にマージします。
- 作成者がセキュリティ記述子を指定しない場合、システムは継承可能な ACE からオブジェクトの DACL をビルドします。
- セキュリティ記述子が指定されておらず、継承可能な ACE がない場合、オブジェクトの DACL は、プライマリ または作成者の偽装トークンからの既定の DACL です。
- 指定、継承、または既定の DACL がない場合、システムは DACL なしでオブジェクトを作成し、すべてのユーザーがオブジェクトにフル アクセスできるようにします。
システムは別のアルゴリズムを使用して、新しい Active Directory オブジェクトの DACL を構築します。 詳細については、「新しいディレクトリ オブジェクトでセキュリティ記述子を設定する方法」を参照してください。