(二)ACE字符串
ACE字符串
安全描述符定义语言(SDDL)在安全描述符字符串的DACL和SACL组件中使用ACE字符串。 如“安全描述符字符串格式”示例所示,安全描述符字符串中的每个ACE都用括号括起来。 ACE的字段按以下顺序排列,并用分号(;)分隔
语法:ace_type;ace_flags;rights;object_guid;inherit_object_guid;account_sid;(resource_attribute)
范围:
ace_type:ACE的类型
一个字符串,指示ACE_HEADER结构的AceType成员的值。 ACE类型字符串可以是Sddl.h中定义的以下字符串之一。
ace_flags标志位
一个字符串,指示ACE_HEADER
结构的AceFlags
成员的值。 ACE标志字符串可以是Sddl.h中定义的以下字符串的串联。
一个字符串,指示ACE_HEADER
结构的AceFlags
成员的值。 ACE标志字符串可以是Sddl.h
中定义的以下字符串的串联。
rights:权限
一个字符串,指示由ACE控制的访问权限。该字符串可以是访问权限的十六进制字符串表示形式,例如“ 0x7800003F”,也可以是以下字符串的串联形式。
通用访问权限
标准访问权限
目录服务对象访问权限
档案存取权
注册表项访问权限
强制性标签权利
object_guid
GUID的字符串表示形式,它表示特定于对象的ACE结构(例如ACCESS_ALLOWED_OBJECT_ACE
)的ObjectType
成员的值。 GUID字符串使用UuidToString
函数返回的格式。
下表列出了一些常用的对象GUID。
inherit_object_guid
GUID的字符串表示形式,它指示特定于对象的ACE结构的InheritedObjectType
成员的值。 GUID字符串使用UuidToString
格式。
account_sid
标识ACE受托者的SID字符串。
resource_attribute
可选: resource_attribute仅用于资源ACE,并且是可选的。指示数据类型的字符串。资源属性ace数据类型可以是Sddl.h中定义的以下数据类型之一。
资源属性中的“#”符号与“ 0”同义。例如,D:AI(XA;OICI;FA;;;WD;(OctetStringType==#1#2#3##))
等同于D:AI(XA;OICI;FA;;;WD;(OctetStringType==#01020300))
.
Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista and Windows Server 2003: 资源属性不可用
以下示例显示了允许访问的ACE的ACE字符串。它不是特定于对象的ACE,因此在object_guid
和Inherited_object_guid
字段中没有任何信息。 ace_flags
字段也为空,表示未设置任何ACE标志。
上面显示的ACE字符串描述了以下ACE信息。
下面的示例显示了一个文件,该文件使用Windows的资源声明和“结构化查询语言(SQL)”将“保密性”设置为“高业务影响”。
上面显示的ACE字符串描述了以下ACE信息。
最后更新于