既定のセキュリティ記述子
Active Directory Domain Services では、オブジェクトの種類ごとに既定のセキュリティを指定することもできます。 これは、Active Directory スキーマの classSchema オブジェクト定義の defaultSecurityDescriptor 属性で指定されます。 このセキュリティ記述子は、オブジェクトの作成時に指定されたセキュリティ記述子がない場合に、オブジェクトに既定の保護を提供するために使用されます。
手記
既定のセキュリティ記述子の ACE は、オブジェクト作成の一部として指定されたかのように処理されます。 そのため、既定の ACE は継承された ACE の前に配置され、必要に応じてオーバーライドされます。 詳細については、DACL の ACE の順序のを参照してください。
defaultSecurityDescriptor は、セキュリティ記述子定義言語 (SDDL) を使用して特別な文字列形式で指定されます。 2 つの関数を使用して、セキュリティ記述子のバイナリ形式を文字列形式に変換し、その逆を行うことができます。 これらの関数は次のとおりです。
- ConvertSecurityDescriptorToStringSecurityDescriptor
- ConvertStringSecurityDescriptorToSecurityDescriptor
定義済みオブジェクト クラスの詳細と既定のセキュリティ記述子については、「Active Directory Domain Services リファレンスの Active Directory スキーマ リファレンス」のクラス参照ページを参照してください。
オブジェクト クラスの defaultSecurityDescriptorプロパティ読み取りまたは変更するコード例の詳細については、「オブジェクト クラス の defaultSecurityDescriptor の読み取りと、オブジェクト クラス の defaultSecurityDescriptor の変更 を参照してください。