Наследование ACE
ACL объекта может содержать ACE, унаследованные от родительского контейнера. Например, подраздел реестра может наследовать ACE из раздела над ним в иерархии реестра. Аналогичным образом, файл в файловой системе NTFS может наследовать ACE от каталога, в котором он содержится.
Структура ACE_HEADER ACE содержит набор флагов наследования, которые управляют наследованием ACE и воздействием ACE на объект, к которому он присоединен. Система интерпретирует флаги наследования и другие сведения о наследовании в соответствии с правилами наследования ACE.
Эти правила были дополнены следующими функциями:
- Поддержка автоматического распространения наследуемых ACE.
- Флаг, который отличает унаследованные ACE и ACE, которые были непосредственно применены к объекту.
- ACE для конкретных объектов, которые позволяют указать тип дочернего объекта, который может наследовать ACE.
- Возможность запретить DACL или SACL наследовать ACE, задав биты SE_DACL_PROTECTED или SE_SACL_PROTECTED в битах элемента управления дескриптора безопасности , за исключением SYSTEM_RESOURCE_ATTRIBUTE_ACE и SYSTEM_SCOPED_POLICY_ID_ACE.