Windows NT 4.0版提供了几种从ACL中检索访问控制信息的功能。这些功能包括用于确定ACL为指定的受托人授予或审核的访问权限的功能。受托人可以是Windows NT服务等程序的用户帐户,组帐户或登录帐户。其他功能使您可以从ACL中提取ACE信息。
通过GetEffectiveRightsFromAcl功能,您可以确定DACL授予指定受托人的有效访问权限。受托人的有效访问权限是ACL授予受托人或受托人所属组织的访问权限。GetEffectiveRightsFromAcl检查ACL中的所有访问被拒绝和拒绝访问的ACE,以确定受托人的有效权限。
通过GetAuditedPermissionsFromAcl功能,您可以检查SACL以确定指定受托人的经审计的访问权限。经过审核的权限表示导致系统在系统事件日志中生成审核记录的访问尝试的类型。该函数返回两个访问掩码:一个包含访问失败访问尝试受监视的访问权限,另一个包含被成功访问的访问权限。GetAuditedPermissionsFromAcl检查ACL中的所有系统审核ACE。返回的访问掩码指示ACL对受托人或受托人是其成员的任何组进行审核的权限。
GetExplicitEntriesFromAcl函数检索描述ACL中的ACE的EXPLICIT_ACCESS结构的数组。当您将ACE信息从一个ACL复制到另一个ACL时,这将非常有用。例如,您可以调用GetExplicitEntriesFromAcl在一个ACL中获取有关ACE的信息。然后在SetEntriesInAcl函数的调用中传递返回的EXPLICIT_ACCESS结构,以在新的ACL中创建等效的ACE。
您可以使用GetAce功能从现有的ACL复制ACE。如果您使用低级访问控制功能来构建ACL,这将非常有用。有关详细信息,请参阅低级门禁功能.
