访问控制条目
访问控制项(ACE)是 访问控制列表(ACL)中的元素。 ACL 可以有零个或多个 ACE。 每个 ACE 控制或监视对指定受托人对对象的访问。 有关在对象的 ACL 中添加、删除或更改 ACE 的信息,请参阅 修改C++中对象的 ACL。
有六种类型的 ACE,其中三种受所有安全对象支持。 其他三种类型 目录服务对象支持的特定于对象的 ACE。
所有类型的 ACE 都包含以下访问控制信息:
- 安全标识符(SID),用于标识 ACE 适用的 受托人。
- 访问掩码,指定 ACE 控制的 访问权限。
- 指示 ACE 类型的标志。
- 一组位标志,用于确定子容器或对象是否可以从 ACL 附加到的主对象继承 ACE。
下表列出了所有安全对象支持的三种 ACE 类型。
| 类型 | 描述 |
|---|---|
| 访问被拒绝的 ACE | 在 自由访问控制列表(DACL)中使用,以拒绝对受托人的访问权限。 |
| 允许访问的 ACE | 在 DACL 中使用,以允许对受托人的访问权限。 |
| 系统审核 ACE | 在 系统访问控制列表(SACL)中使用,以在受托方尝试行使指定访问权限时生成审核记录。 |
有关特定于对象的 ACE 表,请参阅 特定于对象的 ACE。
注意
目前不支持系统警报对象 ACE。