使用 IADs.Get 方法检索 IADsSecurityDescriptor 接口指针后,可以使用 IADsSecurityDescriptor 属性来读取或写入目录对象的安全描述符的组件。 例如,若要获取或设置对象的 DACL,请使用 DiscretionaryAcl 属性。
安全描述符可以存储以下数据:
- 标识对象所有者的安全标识符(SID):对象的所有者有权修改对象的安全描述符中的 DACL 和所有者数据。
- 一个自由访问控制列表(DACL),用于标识可对对象执行各种作的用户和组:DACL 包含访问控制条目列表(ACE)。 每个 ACE 允许或拒绝对指定用户帐户、组帐户或其他受托人的指定访问权限集。 有关详细信息,请参阅 检索对象的 DACL。
- 一个系统访问控制列表(SACL),用于控制系统审核如何尝试访问对象:SACL 中的每个 ACE 指定为指定用户帐户、组帐户或其他受托人生成审核日志条目的访问尝试的类型。 有关详细信息,请参阅 检索对象的 SACL。
- 一组符合安全描述符或其组件含义的 SECURITY_DESCRIPTOR_CONTROL 控制标志:例如,SE_DACL_PROTECTED 标志保护安全描述符的 DACL 从其父对象继承 ACE。
- 标识对象的主要组的安全标识符(SID):Active Directory 域服务不使用此组件。
有关详细信息以及可用于读取和显示对象安全描述符和 DACL 中的数据的代码示例,请参阅 读取对象的安全描述符。