Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Sicherheits- und Zugriffssteuerungsmodell für Anwendungsverzeichnispartitionen entspricht dem für andere Partitionen in Active Directory Domain Services. Normale Benutzer können auf Objekte in einer Anwendungsverzeichnispartition zugreifen, die den acLs unterliegen, die auf diesen Objekten platziert werden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Objekte in Active Directory Domain Services.
Da Anwendungsverzeichnispartitionen jedoch mehrere Sicherheitsdomänen in einem Verzeichnisdienst umfassen können, stellt sich die Frage, wie domänenrelative bekannte SID-Zeichenfolgenkonstanten im defaultSecurityDescriptor der Schemaklasse eines Objekts zum Zeitpunkt der Objekterstellung in einer Anwendungsverzeichnispartition interpretiert werden. Wenn z. B. "DA" sich auf die Gruppe der Domänenadministratoren bezieht, aber in einer Anwendungsverzeichnispartition ist nicht bekannt, auf welche Domäne sich die Da-Gruppe bezieht.
Um dieses Problem zu beheben, weist das crossRef--Objekt einer Anwendungsverzeichnispartition ein msDS-SDReferenceDomain Attribut auf, das den unterschiedenen Namen der Referenzdomäne für diese Anwendungsverzeichnispartition enthält. Das Sicherheitssystem verwendet die angegebene Domäne, um lokale Domänenverweise für Standardsicherheitsdeskriptoren zu interpretieren, die an Objekte angefügt sind, die in dieser Anwendungsverzeichnispartition erstellt wurden. Die Referenzdomäne kann angegeben werden, wenn das crossRef--Objekt für eine Anwendungsverzeichnispartition erstellt wird. Dies erfordert jedoch, dass für die Anwendungsverzeichnispartition ein crossRef--Objekt vorab erstellt wird. Wenn keine Referenzdomäne angegeben ist, legt das System die Referenzdomäne automatisch basierend auf einer der folgenden Bedingungen fest:
- Wenn das übergeordnete Objekt des Anwendungsverzeichnispartitionsobjekts eine andere Anwendungsverzeichnispartition ist, wird das msDS-SDReferenceDomain Attribut der übergeordneten Anwendungsverzeichnispartition für die Referenzdomäne verwendet.
- Wenn das übergeordnete Objekt eine Domäne ist, wird diese Domäne für die Referenzdomäne verwendet.
- Wenn kein übergeordnetes Objekt vorhanden ist, wird die Stammdomäne der Gesamtstruktur für die Referenzdomäne verwendet.
Das crossRef--Attribut kann auch nach der Erstellung der Partition in die Referenzdomäne geändert werden, dies wird jedoch nicht empfohlen.
Ein ähnliches Problem tritt auf, wenn eine lokale Gruppe in einer ACL für ein Objekt in einer Anwendungsverzeichnispartition angegeben wird. In diesem Fall kann das attribut msDS-SDReferenceDomain nicht verwendet werden, um die Referenzdomäne für eine lokale Gruppe zu interpretieren. Um dieses Problem zu vermeiden, sollten lokale Gruppen nicht in den ACLs von Anwendungsverzeichnispartitionsobjekten verwendet werden.