SACL para um novo objeto
O sistema usa o seguinte algoritmo para criar uma SACL para a maioria dos tipos de novos objetos protegíveis:
- O SACL do objeto é o SACL do descritor de segurança especificado pelo criador do objeto. O sistema mescla quaisquer ACEs herdáveis na SACL especificada, a menos que o bit SE_SACL_PROTECTED seja definido nos bits de controle do descritor de segurança. SYSTEM_RESOURCE_ATTRIBUTE_ACEs e SYSTEM_SCOPED_POLICY_ID_ACEs de um objeto pai serão mesclados a um novo objeto, mesmo que o bit SE_SACL_PROTECTED esteja definido.
- Se o criador não especificar um descritor de segurança, o sistema criará o SACL do objeto de ACEs herdáveis.
- Se não houver nenhuma SACL especificada ou herdada, o objeto não terá SACL.
Para especificar um SACL para um novo objeto, o criador do objeto deve ter o privilégio SE_SECURITY_NAME habilitado. Se o SACL especificado para um novo objeto contiver apenas SYSTEM_RESOURCE_ATTRIBUTE_ACEs, o privilégio SE_SECURITY_NAME não será necessário. O criador não precisará desse privilégio se o SACL do objeto for criado a partir de ACEs herdados.
O sistema usa um algoritmo diferente para criar uma SACL para um novo objeto do Active Directory. Para obter mais informações, consulte Como os descritores de segurança são definidos em novos objetos de diretório.