分配ACL: 要确定分配给新对象的ACL,安全系统将应用三种互斥 的规则之一,步骤如下: (1)如果调用者在创建对象时明确提供了一个安全描述 体,则安全系统将把该描述体应用到对象中 (2)如果调用者没有提供安全描述体,而对象有名称 则安全系统将在存储新对象名称的目录中查看安全描 述体。一些对象目录的ACE可以被指定为可继承的,表 示它们可以应用于在对象目录中创建的新对象上。如 果存在可继承的ACE,安全系统将它们编入ACI,并与 新对象连接。(单独的标志表明ACE只能被容器对象继 承,而不可能被非容器对象继承。) (3)如果以上两种情况都没有出现,安全系统会从调用 者访问令牌中检索默认的ACL,并将其应用到新对 象。操作系统的几个子系统有它们在创建对象时分配 一的硬性编码DACL(例如,服务、LSA和SAM对象)分配ACL: 要确定分配给新对象的ACL，安全系统将应用三种互斥 的规则之一，步骤如下： (1)如果调用者在创建对象时明确提供了一个安全描述 体，则安全系统将把该描述体应用到对象中。 (2)如果调用者没有提供安全描述体，而对象有名称， 则安全系统将在存储新对象名称的目录中查看安全描 述体。一些对象目录的ACE可以被指定为可继承的，表 示它们可以应用于在对象目录中创建的新对象上。如 果存在可继承的ACE，安全系统将它们编入ACI，并与 新对象连接。(单独的标志表明ACE只能被容器对象继 承，而不可能被非容器对象继承。) (3)如果以上两种情况都没有出现，安全系统会从调用 者访问令牌中检索默认的 ACL，并将其应用到新对 象。操作系统的几个子系统有它们在创建对象时分配 的硬性编码DACL(例如，服务、LSA和SAM对象)