перечисление ADS_RIGHTS_ENUM (iads.h)

Статья
08/24/2023

Перечисление ADS_RIGHTS_ENUM указывает права доступа, назначенные объекту Active Directory. Свойство IADsAccessControlEntry.AccessMask содержит сочетание этих значений для объекта Active Directory.

Дополнительные сведения и список возможных значений прав доступа для объектов файлов или общих папок см. в разделе Безопасность файлов и права доступа.

Дополнительные сведения и список возможных значений прав доступа для объектов реестра см. в разделе Безопасность раздела реестра и права доступа.

Синтаксис

typedef enum __MIDL___MIDL_itf_ads_0001_0048_0001 {
  ADS_RIGHT_DELETE = 0x10000,
  ADS_RIGHT_READ_CONTROL = 0x20000,
  ADS_RIGHT_WRITE_DAC = 0x40000,
  ADS_RIGHT_WRITE_OWNER = 0x80000,
  ADS_RIGHT_SYNCHRONIZE = 0x100000,
  ADS_RIGHT_ACCESS_SYSTEM_SECURITY = 0x1000000,
  ADS_RIGHT_GENERIC_READ = 0x80000000,
  ADS_RIGHT_GENERIC_WRITE = 0x40000000,
  ADS_RIGHT_GENERIC_EXECUTE = 0x20000000,
  ADS_RIGHT_GENERIC_ALL = 0x10000000,
  ADS_RIGHT_DS_CREATE_CHILD = 0x1,
  ADS_RIGHT_DS_DELETE_CHILD = 0x2,
  ADS_RIGHT_ACTRL_DS_LIST = 0x4,
  ADS_RIGHT_DS_SELF = 0x8,
  ADS_RIGHT_DS_READ_PROP = 0x10,
  ADS_RIGHT_DS_WRITE_PROP = 0x20,
  ADS_RIGHT_DS_DELETE_TREE = 0x40,
  ADS_RIGHT_DS_LIST_OBJECT = 0x80,
  ADS_RIGHT_DS_CONTROL_ACCESS = 0x100
} ADS_RIGHTS_ENUM;

Константы


`ADS_RIGHT_DELETE` Значение: 0x10000 Право на удаление объекта.
`ADS_RIGHT_READ_CONTROL` Значение: 0x20000 Право на чтение данных из дескриптора безопасности объекта, не включая данные из списка SACL.
`ADS_RIGHT_WRITE_DAC` Значение: 0x40000 Право изменять дискреционный список управления доступом (DACL) в дескрипторе безопасности объекта.
`ADS_RIGHT_WRITE_OWNER` Значение: 0x80000 Право на получение владения объектом. Пользователь должен быть доверенным лицом объекта. Пользователь не может передать владение другим пользователям.
`ADS_RIGHT_SYNCHRONIZE` Значение: 0x100000 Право на использование данного объекта для синхронизации. Это позволяет потоку ждать, пока объект не перейдет в состояние сигнала.
`ADS_RIGHT_ACCESS_SYSTEM_SECURITY` Значение: 0x1000000 Право на получение или задание списка SACL в дескрипторе безопасности объекта.
`ADS_RIGHT_GENERIC_READ` Значение: 0x80000000 Право на чтение разрешений для данного объекта, чтение всех свойств данного объекта, вывод имени этого объекта при выводе содержимого родительского контейнера, а также вывод содержимого данного объекта, если он является контейнером.
`ADS_RIGHT_GENERIC_WRITE` Значение: 0x40000000 Право на чтение разрешений для данного объекта, запись всех свойств данного объекта и выполнение всех проверенных операций записи в данный объект.
`ADS_RIGHT_GENERIC_EXECUTE` Значение: 0x20000000 Право на чтение разрешений для объекта-контейнера и вывод его содержимого.
`ADS_RIGHT_GENERIC_ALL` Значение: 0x10000000 Право на создание или удаление дочерних объектов, удаление поддеревья, чтение и запись свойств, изучение дочерних объектов и самого объекта, добавление и удаление объекта из каталога, а также чтение или запись с расширенным правом.
`ADS_RIGHT_DS_CREATE_CHILD` Значение: 0x1 Право на создание дочерних объектов объекта . Элемент ObjectType ACE может содержать GUID , определяющий тип дочернего объекта, создание которого контролируется. Если ObjectType не содержит GUID, ACE управляет созданием всех дочерних типов объектов.
`ADS_RIGHT_DS_DELETE_CHILD` Значение: 0x2 Право на удаление дочерних объектов объекта . Элемент ObjectType ACE может содержать GUID , определяющий тип дочернего объекта, удаление которого контролируется. Если ObjectType не содержит GUID, ACE управляет удалением всех дочерних типов объектов.
`ADS_RIGHT_ACTRL_DS_LIST` Значение: 0x4 Право на перечисление дочерних объектов этого объекта. Дополнительные сведения об этом праве см. в разделе Управление видимостью объектов.
`ADS_RIGHT_DS_SELF` Значение: 0x8 Право на выполнение операции, контролируемой проверенным правом на запись. Элемент ObjectType ACE может содержать GUID , который идентифицирует проверенную запись. Если ObjectType не содержит GUID, ACE управляет правами на выполнение всех допустимых операций записи, связанных с объектом .
`ADS_RIGHT_DS_READ_PROP` Значение: 0x10 Право на чтение свойств объекта. Элемент ObjectType ACE может содержать ИДЕНТИФИКАТОР GUID , который идентифицирует набор свойств или свойство. Если ObjectType не содержит GUID, ACE управляет правом на чтение всех свойств объекта.
`ADS_RIGHT_DS_WRITE_PROP` Значение: 0x20 Право на запись свойств объекта. Элемент ObjectType ACE может содержать ИДЕНТИФИКАТОР GUID , который идентифицирует набор свойств или свойство. Если ObjectType не содержит GUID, ACE управляет правом на запись всех свойств объекта.
`ADS_RIGHT_DS_DELETE_TREE` Значение: 0x40 Право на удаление всех дочерних объектов этого объекта независимо от разрешений дочерних объектов.
`ADS_RIGHT_DS_LIST_OBJECT` Значение: 0x80 Право на вывод списка определенного объекта. Если пользователю не предоставлено такое право, а у пользователя нет ADS_RIGHT_ACTRL_DS_LIST на родительском объекте, объект скрывается от пользователя. Это право игнорируется, если третий символ свойства dSHeuristics имеет значение "0" или не задано. Дополнительные сведения см. в разделе Управление видимостью объектов.
`ADS_RIGHT_DS_CONTROL_ACCESS` Значение: 0x100 Право на выполнение операции, контролируемой расширенным правом доступа. Элемент ObjectType ACE может содержать GUID , определяющий расширенное право. Если ObjectType не содержит GUID, ACE управляет правом на выполнение всех расширенных правильных операций, связанных с объектом .

Чтобы назначить права доступа объекту, задайте в поле AccessMask записи управления доступом (ACE) сочетание констант, определенных в этом перечислении. Помимо поля AccessMask , ACE может содержать другие поля, включая ACEType, ACEFlags, ObjectType, InheritedObjectType, Flags и Trustee. Интерфейс IADsAccessControlEntry предоставляет методы свойств для получения и изменения этих полей.

Поле ObjectType указывает GUID , определяющий набор свойств, свойство, расширенное право или тип дочернего объекта, к которому применяется ACE. Поле InheritedObjectType указывает GUID , определяющий тип дочернего объекта, который может наследовать ACE. Поле Доверенное лицо определяет субъекта безопасности, которому ACE разрешает или запрещает указанные права доступа.

Дополнительные сведения об ACEType, ACEFlags и Flags см. в разделе ADS_ACETYPE_ENUM, ADS_ACEFLAG_ENUM.

Примечание Так как VBScript не может считывать данные из библиотеки типов, приложения VBScript не распознают символьные константы, как определено выше. Вместо этого используйте числовые константы, чтобы задать соответствующие флаги в приложении VBScript. Чтобы использовать символьные константы в качестве хорошей практики программирования, напишите явные объявления таких констант, как показано здесь, в приложениях VBScript.

Конкретные права доступа, предоставляемые четырьмя перечислениями универсальных прав (ADS_RIGHT_GENERIC_xxx), зависят от конкретного поставщика услуг ADSI, к которому осуществляется доступ. Для Active Directory эти универсальные права определяются в файле заголовка Ntdsapi.h как DS_GENERIC_READ, DS_GENERIC_WRITE, DS_GENERIC_EXECUTE и DS_GENERIC_ALL. Дополнительные сведения об использовании прав доступа и масок доступа см. в разделе контроль доступа.

Требования


Минимальная версия клиента	Windows Vista
Минимальная версия сервера	Windows Server 2008
Верхняя часть	iads.h