Компоненты дескриптора безопасности

Используя метод IADs.Get для получения указателя интерфейса IADsSecurityDescriptor, можно использовать свойства IADsSecurityDescriptor для чтения или записи компонентов дескриптора безопасности объекта каталога. Например, чтобы получить или задать DACL объекта, используйте свойство DiscretionaryAcl.

Дескриптор безопасности может хранить следующие данные:

  • Идентификатор безопасности (SID), определяющий владельца объекта: владелец объекта имеет неявное право изменять данные DACL и владельца в дескрипторе безопасности объекта.
  • Список управления доступом (DACL), определяющий пользователей и группы, которые могут выполнять различные операции с объектом: DACL содержит список записей управления доступом (ACEs). Каждый ACE разрешает или запрещает указанный набор прав доступа к указанной учетной записи пользователя, учетной записи группы или другому доверенному лицу. Дополнительные сведения см. в разделе получения daCL объекта.
  • Системный список управления доступом (SACL), который управляет тем, как системный аудит пытается получить доступ к объекту: каждый ACE в SACL указывает типы попыток доступа, которые создают запись журнала аудита для указанной учетной записи пользователя, учетной записи группы или другого доверенного лица. Дополнительные сведения см. в разделе получения saCL объекта.
  • Набор флагов управления SECURITY_DESCRIPTOR_CONTROL, которые определяют смысл дескриптора безопасности или его компонентов: например, флаг SE_DACL_PROTECTED защищает DACL дескриптора безопасности от наследования acEs от родительского объекта.
  • Идентификатор безопасности (SID), определяющий основную группу объекта: доменные службы Active Directory не используют этот компонент.

Дополнительные сведения и пример кода, который можно использовать для чтения и отображения данных в дескрипторе безопасности объекта и DACL, см. в чтении дескриптора безопасности объекта.