文件管理器和Microsoft Windows NT注册表编辑器(REGEDT32.EXE)都包含一个安全编辑器,允许具有相应特权和访问权的用户更改文件和注册表项的安全属性。该安全编辑器对安全信息的形式提出了指导。修改文件,目录或注册表项的安全性的应用程序可以遵循这些准则,因此安全编辑器将在修改后正常运行。
安全编辑器接受具有零个或多个ACCESS_DENIED_ACE访问控制条目(ACE)或零个或多个ACCESS_ALLOWED_ACE ACE的自由ACL。两种ACE类型不能在自由ACL中混合使用。安全编辑器也不接受只拒绝部分访问的ACCESS_DENIED_ACE ACE。例如,它将拒绝仅拒绝对文件的读访问的ACE。
安全编辑器也强制要求继承标志。对于非容器对象(如文件),这些标志将被忽略,但对容器对象(如目录和注册表项)很重要。对于支持容器对象权限的容器对象,请确保每个安全标识符(SID)具有由对象继承的ACE和由容器继承的ACE。因此,自由ACL应包含ACE,其中ACE_HEADER结构结构的AceFlags成员包含OBJECT_INHERIT_ACE和CONTAINER_INHERIT_ACE标志。有时这些标志可以组合在一个ACE中。例如,授予对目录的读取访问权限的自由ACL可以包含一个CONTAINER_INHERIT_ACE ACE,它授予对用户或组的GENERIC_READ访问权限,还可以使用具有允许GENERIC_READ访问权限的OBJECT_INHERIT_ACE和INHERIT_ONLY_ACE标志的ACE。在这种情况下,所需的标志可以组合成一个授予GENERIC_READ访问权限的ACE,并组合了CONTAINER_INHERIT_ACE和OBJECT_INHERIT_ACE标志。
继承标志的相同规则适用于系统ACL。安全编辑器不支持SYSTEM_ALARM_ACE类型,不会编辑包含一个的系统ACL。如前所述,当前版本的Windows NT不支持此ACE类型。
