Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
System automatycznie propaguje dziedziczone wpisy kontroli dostępu (ACEs) do obiektów podrzędnych zgodnie z zestawem reguł dziedziczenia. System umieszcza dziedziczone acEs w dyskrecjonalne listy kontroli dostępu (DACL) elementu podrzędnego zgodnie z preferowaną kolejnością kontroli dostępu wDACL .
ACEs dziedziczone przez obiekty podrzędne kontenerowe i niekontenerowe różnią się w zależności od kombinacji flag dziedziczenia. Te reguły dziedziczenia działają tak samo w przypadku list kontroli dostępu systemu(SACLs) zarówno dla list kontroli dostępu systemu.
| nadrzędna flaga ACE | Wpływ na podrzędne ACL |
|---|---|
| tylko OBJECT_INHERIT_ACE | Obiekty podrzędne niebędące kontenerami: dziedziczone jako skuteczny ACE. Obiekty podrzędne kontenera: Kontenery dziedziczą ACE tylko do dziedziczenia, chyba że jest także ustawiona flaga bitowa NO_PROPAGATE_INHERIT_ACE. |
| tylko CONTAINER_INHERIT_ACE | Obiekty podrzędne niekontenerowe: brak wpływu na obiekt podrzędny. Obiekty podrzędne kontenera: obiekt podrzędny dziedziczy efektywną ACE. Dziedziczona ACE jest dziedziczona, chyba że ustawiono również flagę bitową NO_PROPAGATE_INHERIT_ACE. |
| CONTAINER_INHERIT_ACE i OBJECT_INHERIT_ACE | Obiekty podrzędne niebędące kontenerami: dziedziczone jako skuteczny ACE. Obiekty podrzędne kontenera: obiekt podrzędny dziedziczy efektywną ACE. Dziedziczona ACE jest dziedziczona, chyba że ustawiono również flagę bitową NO_PROPAGATE_INHERIT_ACE. |
| Brak ustawionych flag dziedziczenia | Brak wpływu na kontener podrzędny lub obiekty niekontenerowe. |
Jeśli dziedziczona ACE jest efektywną ACE dla obiektu podrzędnego, system mapuje wszelkie prawa ogólne do określonych praw dla obiektu podrzędnego. Podobnie system mapuje ogólne identyfikatory zabezpieczeń (SID), takie jak CREATOR_OWNER, do odpowiedniego identyfikatora SID. Jeśli dziedziczona ACE jest tylko dziedziczana, wszelkie prawa ogólne lub ogólne identyfikatory zabezpieczeń (SID) pozostają niezmienione, aby można je było odpowiednio zmapować, gdy ACE jest dziedziczone przez następną generację obiektów potomnych.
W przypadku, gdy obiekt kontenera dziedziczy ACE, który jest skuteczny dla kontenera oraz przekazywany jego potomkom, kontener może odziedziczyć dwa elementy ACE. Dzieje się tak, jeśli dziedziczona ACE zawiera ogólne informacje. Kontener dziedziczy ACE tylko-do-dziedziczenia, który zawiera ogólne informacje, oraz ACE tylko dla skuteczności, w którym odzwierciedlono ogólne informacje.
Specyficzny dla obiektu ACE ma członka InheritedObjectType, który może zawierać identyfikator GUID, aby zidentyfikować typ obiektu, który może dziedziczyć ACE.
Jeśli nie określono identyfikatora GUID InheritedObjectType, zasady dziedziczenia dla specyficznego dla obiektu ACE są takie same jak dla standardowego ACE.
Jeśli określono identyfikator GUID InheritedObjectType, ACE może być dziedziczony przez obiekty, które odpowiadają identyfikatorowi GUID, jeśli OBJECT_INHERIT_ACE jest ustawiony, oraz przez kontenery, które odpowiadają identyfikatorowi GUID, jeśli CONTAINER_INHERIT_ACE jest ustawiony. Należy pamiętać, że obecnie tylko obiekty DS obsługują specjalne listy kontroli dostępu specyficzne dla obiektów, a DS traktuje wszystkie typy obiektów jako kontenery.