Aturan Warisan ACE
Sistem secara otomatis menyebarluaskan entri kontrol akses yang dapat diwariskan (ACE) ke objek turunan sesuai dengan sekumpulan aturan warisan. Sistem menempatkan ACE yang diwariskan dalam daftar kontrol akses diskresi (DACL) milik anak sesuai dengan susunan ACE pilihan dalam DACL.
ACE yang diwariskan oleh objek turunan kontainer dan nonkontainer berbeda, tergantung pada kombinasi petunjuk warisan. Aturan warisan ini berfungsi sama untuk DACL dan daftar kontrol akses sistem (SACL).
| Indikator induk ACE | Pengaruh pada ACL anak |
|---|---|
| OBJECT_INHERIT_ACE saja | Objek anak nonkontainer: Diwariskan sebagai ACE yang efektif. Objek turunan kontainer: Kontainer mewarisi ACE yang hanya diwarisi kecuali tanda bit NO_PROPAGATE_INHERIT_ACE juga diatur. |
| CONTAINER_INHERIT_ACE saja | Objek turunan nonkontainer: Tidak ada efek pada objek anak. Objek turunan kontainer: Objek anak mewarisi ACE yang efektif. ACE yang diwariskan dapat diwariskan kecuali flag bit NO_PROPAGATE_INHERIT_ACE juga ditetapkan. |
| CONTAINER_INHERIT_ACE dan OBJECT_INHERIT_ACE | Objek anak nonkontainer: Diwariskan sebagai ACE yang efektif. Objek turunan kontainer: Objek anak mewarisi ACE yang efektif. ACE yang diwariskan dapat diwariskan kecuali flag bit NO_PROPAGATE_INHERIT_ACE juga ditetapkan. |
| Tidak ada penanda pewarisan yang diset | Tidak ada efek pada kontainer anak atau objek nonkontainer. |
Jika ACE yang diwariskan adalah ACE yang efektif untuk objek anak, sistem memetakan hak umum apa pun ke hak khusus untuk objek anak. Demikian pula, sistem memetakan pengidentifikasi keamanan generik (SID), seperti CREATOR_OWNER, ke SID yang sesuai. Jika ACE yang diwariskan adalah ACE yang hanya untuk pewarisan, semua hak generik atau SID generik dibiarkan tidak berubah sehingga dapat dipetakan dengan tepat ketika ACE diwariskan oleh generasi objek anak berikutnya.
Untuk kasus di mana objek kontainer mewarisi ACE yang efektif pada kontainer dan dapat diwariskan oleh turunannya, kontainer dapat mewarisi dua ACE. Ini terjadi jika ACE yang dapat diwariskan berisi informasi generik. Kontainer mewarisi ACE yang hanya dapat diwarisi yang berisi informasi generik dan ACE yang hanya efektif di mana informasi generik telah dipetakan.
ACE spesifik untuk objek memiliki anggota InheritedObjectType yang dapat mengandung GUID untuk mengidentifikasi jenis objek yang dapat mewarisi ACE tersebut.
Jika GUID InheritedObjectType tidak ditentukan, aturan pewarisan untuk ACE khusus objek sama dengan untuk ACE standar.
Jika GUID InheritedObjectType ditentukan, ACE dapat diwariskan oleh objek yang cocok dengan GUID jika OBJECT_INHERIT_ACE diatur, dan oleh kontainer yang cocok dengan GUID jika CONTAINER_INHERIT_ACE diatur. Perhatikan bahwa saat ini hanya objek DS yang mendukung ACE khusus objek, dan DS memperlakukan semua jenis objek sebagai kontainer.