{ Reihenfolge innerhalb der
ACL }
Die bevorzugte Reihenfolge von ACEs ist für 4.0 und frühere Windows NT-Versionen einfach.
In einem DACL sollten alle
access-denied ACEs vor
access-allowed beliebigen ACEs stehen.
Für Windows 2000 oder später ist die richtige Reihenfolge von ACEs komplizierter wegen
der Einführung objektspezifischer ACEs und automatischer Vererbung.
Beschreibt die bevorzugte Reihenfolge für Windows 2000 oder später im Folgenden:
• Platzieren Sie in einer Gruppe vor geerbten beliebigen ACEs alle non-inherit ACEs,
um sicherzustellen, dass non-inherit ACEs über Rangfolge über geerbte ACEs verfügen.
Diese Reihenfolge stellt beispielsweise sicher, dass ein
access-denied non-inherit ACE
trotz geerbten beliebigen ACES erzwungen wird, das Zugriff ermöglicht.
• ACEs-Auftragtyp laut ACE wie den folgenden Präsentationen innerhalb der Gruppen von non-inherit ACEs und geerbten ACEs:
•
Access-denied ACEs, die für das Objekt gelten.
•
Access-denied ACEs, die für einen Unter des Objekts wie einem Eigenschaftssatz oder einer Eigenschaft gelten.
•
Access-allowed ACEs, die für das Objekt gelten
•
Access-allowed ACEs, die für einen Unter des Objekts gelten
Die einfache Zugriffssteuerung
API zu dem Hinzufügen von ACEs zu einem DACL
erzwingen die bevorzugte Reihenfolge nicht. Die AddAce Funktion addiert ACEs an
einem angegebenen Speicherort in einem
ACL. Die AddAccessAllowedAce Funktion
fügt ein ACE an dem Ende in einem
ACL hinzu. Daher ist es die sicherstellende,
dass die ACEs in der bevorzugten Reihenfolge hinzugefügt werden Aufgabe des Aufrufers.