Objektspezifische ACEs

Objektspezifische ACEs werden für Verzeichnisdienstobjekte (Directory Service, DS) unterstützt. Ein objektspezifischer ACE enthält ein Paar von GUIDs, die die Möglichkeiten erweitern, wie der ACE ein Objekt schützen kann.

GUID Beschreibung
ObjectType Identifiziert eine der folgenden Optionen:
  • Ein Typ des untergeordneten Objekts. Der ACE steuert das Recht, einen angegebenen Typ von untergeordneten Objekten zu erstellen. Weitere Informationen finden Sie unter Steuern der Erstellung untergeordneter Objekte in C++.
  • Ein Eigenschaftssatz oder eine Eigenschaft. Der ACE steuert das Recht, die Eigenschaft oder den Eigenschaftensatz zu lesen oder zu schreiben. Weitere Informationen finden Sie unter ACEs zum Steuern des Zugriffs auf die Eigenschaften eines Objekts.
  • Ein erweitertes Recht. Der ACE steuert das Recht, den Vorgang auszuführen, der dem erweiterten Recht zugeordnet ist.
  • Ein überprüfter Schreibvorgang. Der ACE steuert das Recht, bestimmte Schreibvorgänge auszuführen. Diese überprüften Schreibberechtigungen, die im ACL-Editor definiert und verfügbar gemacht werden, bieten Berechtigungen für überprüfte Schreibvorgänge von Eigenschaften anstelle von ungeprüften Schreibvorgängen auf niedriger Ebene für eine Eigenschaft, die mit der Berechtigung "Eigenschaft schreiben" gewährt wird.
Inheritedobjecttype Gibt den Typ des untergeordneten Objekts an, das den ACE erben kann. Die Vererbung wird auch durch die Vererbungsflags im ACE_HEADER sowie durch jeglichen Schutz vor Vererbung gesteuert, der auf die untergeordneten Objekte gesetzt wird. Weitere Informationen finden Sie unter ACE-Vererbung.

 

Drei Typen von objektspezifischen ACEs werden unterstützt.

Hinweis

AcEs für Systemalarmobjekte werden derzeit nicht unterstützt.

 

type BESCHREIBUNG
Zugriffsverweigerungsobjekt ACE Wird in einer DACL verwendet, um einem Vertrauenshänder den Zugriff auf eine Eigenschaft oder Eigenschaft zu verweigern, die für das Objekt festgelegt ist, oder um die ACE-Vererbung auf einen bestimmten Typ von untergeordneten Objekten zu beschränken. Verwendet die ACCESS_DENIED_OBJECT_ACE-Struktur .
Access-zulässige Objekt-ACE Wird in einer DACL verwendet, um einem Vertrauenshänder den Zugriff auf eine Eigenschaft oder Eigenschaft zu gewähren, die für das Objekt festgelegt ist, oder um die ACE-Vererbung auf einen angegebenen Typ von untergeordneten Objekten zu beschränken. Verwendet die ACCESS_ALLOWED_OBJECT_ACE-Struktur .
ACE des Systemüberwachungsobjekts Wird in einer SACL verwendet, um die Versuche eines Treuhänders zu protokollieren, auf eine Eigenschaft oder Eigenschaft zuzugreifen, die für das Objekt festgelegt ist, oder um die ACE-Vererbung auf einen angegebenen Typ von untergeordneten Objekten zu beschränken. Verwendet die SYSTEM_AUDIT_OBJECT_ACE-Struktur .

 

Jede ACL, die einen objektspezifischen ACE enthält, muss die Revisions-ACL_REVISION_DS verwenden.