ACE öröklési szabályok
A rendszer automatikusan propagálja az örökölhető hozzáférés-vezérlési bejegyzéseket (ACL-eket) a gyermekobjektumokra az öröklési szabályok szerint. A rendszer az örökölt ACE-eket a gyermek diszkrecionális hozzáférés-vezérlési listáján (DACL) helyezi el a DACL-ACE-k előnyben részesítettsorrendjének megfelelően.
A tároló és a nem tároló gyermekobjektumok által örökölt ACE-k eltérőek, az öröklési jelzők kombinációitól függően. Ezek az öröklési szabályok a DACL-ek és rendszerhozzáférés-vezérlési listák (SACLs) esetében is ugyanúgy működnek.
| Szülő ACE jelölője | A gyermek ACL-re gyakorolt hatás |
|---|---|
| Csak az OBJECT_INHERIT_ACE | Nemkonténer gyermek objektumok: Öröklött hatékony ACE-ként. Tároló gyermekobjektumai: A tárolók csak öröklésre szánt ACE-t kapnak, kivéve, ha a NO_PROPAGATE_INHERIT_ACE bitjelző is be van állítva. |
| csak CONTAINER_INHERIT_ACE | Nem kontainer gyermekobjektumok: Nincs hatása a gyermekobjektumra. Tároló gyermekobjektumai: A gyermekobjektum egy érvényes ACE-t örököl. Az örökölt ACE örökölhető, kivéve, ha a NO_PROPAGATE_INHERIT_ACE bitjelző is be van állítva. |
| CONTAINER_INHERIT_ACE és OBJECT_INHERIT_ACE | Nemkonténer gyermek objektumok: Öröklött hatékony ACE-ként. Tároló gyermekobjektumai: A gyermekobjektum egy érvényes ACE-t örököl. Az örökölt ACE örökölhető, kivéve, ha a NO_PROPAGATE_INHERIT_ACE bitjelző is be van állítva. |
| Nincsenek megadva öröklési jelzők | Nincs hatása a gyermektárolóra vagy a nem kontainer objektumra. |
Ha az öröklődő ACE a gyermekobjektum hatékony ACE-je, a rendszer leképezi az általános jogokat a gyermekobjektum adott jogosultságaihoz. Hasonlóképpen, a rendszer leképezi az általános biztonsági azonosítókat (SID-k), például CREATOR_OWNER, a megfelelő SID-hez. Ha az örökölt ACE öröklődő ACE, az általános jogosultságok és az általános SID-k változatlanok maradnak, így megfelelően leképezhetők, ha az ACE-t a gyermekobjektumok következő generációja örökli.
Abban az esetben, ha egy tárolóobjektum olyan ACE-t örököl, amely a tárolón érvényes és a leszármazottai által örökölhető, a tároló két ACE-t örökölhet. Ez akkor fordul elő, ha az örökölhető ACE általános információkat tartalmaz. A tároló örökli az öröklődő, általános információkat tartalmazó ACE-t, és egy olyan ACE-t, amely csak effektív, és amelyben az általános információk le vannak képezve.
Egy objektumspecifikus ACE- rendelkezik egy InheritedObjectType tagmal, amely guid azonosítót tartalmazhat az ACE örökölhető objektumtípusának azonosításához.
Ha a InheritedObjectType GUID nincs megadva, az objektumspecifikus ACE öröklési szabályai megegyeznek a standard ACE-vel.
Ha a InheritedObjectType GUID van megadva, az ACE örökölhető a GUID-nak megfelelő objektumok alapján, ha OBJECT_INHERIT_ACE van beállítva, és a GUID-nak megfelelő tárolók, ha CONTAINER_INHERIT_ACE be van állítva. Vegye figyelembe, hogy jelenleg csak a DS-objektumok támogatják az objektumspecifikus ACL-eket, és a DS az összes objektumtípust tárolóként kezeli.