Standardsicherheitsdeskriptor
Mit Active Directory Domain Services können Sie auch die Standardsicherheit für jeden Objekttyp angeben. Dies wird im defaultSecurityDescriptor-Attribut in der classSchema-Objektdefinition im Active Directory-Schema angegeben. Dieser Sicherheitsdeskriptor wird verwendet, um den Standardschutz für das Objekt bereitzustellen, wenn bei der Erstellung des Objekts kein Sicherheitsdeskriptor angegeben ist.
Hinweis
ACEs aus einem Standardsicherheitsdeskriptor werden so behandelt, als ob sie im Rahmen der Objekterstellung angegeben würden. Daher werden die Standard-ACEs vor geerbten ACEs platziert und bei Bedarf überschrieben. Weitere Informationen finden Sie unter Reihenfolge der ACEs in einer DACL.
Der defaultSecurityDescriptor wird in einem speziellen Zeichenfolgenformat mit der Security Descriptor Definition Language (SDDL) angegeben. Zwei Funktionen können verwendet werden, um die binäre Form des Sicherheitsdeskriptors in das Zeichenfolgenformat zu konvertieren und umgekehrt. Dabei handelt es sich um diese Funktionen:
- ConvertSecurityDescriptorToStringSecurityDescriptor
- ConvertStringSecurityDescriptorToSecurityDescriptor
Weitere Informationen und die Standardsicherheitsbeschreibungen der vordefinierten Objektklassen finden Sie auf den Klassenreferenzseiten in der Active Directory-Schemareferenz der Active Directory Domain Services Reference.
Weitere Informationen und ein Codebeispiel, das die defaultSecurityDescriptor-Eigenschaft einer Objektklasse liest oder ändert, finden Sie unter Lesen des defaultSecurityDescriptor für eine Objektklasse und Ändern des defaultSecurityDescriptor für eine Objektklasse.