Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Todos los objetos de Active Directory Domain Services admiten un conjunto estándar de derechos de acceso definidos en la enumeración ADS_RIGHTS_ENUM. Estos derechos de acceso se pueden usar en las entradas de control de acceso (ACE) del descriptor de seguridad de un objeto para controlar el acceso al objeto; es decir, para controlar quién puede realizar operaciones estándar, como crear y eliminar objetos secundarios, o leer y escribir los atributos de objeto. Sin embargo, para algunas clases de objeto, puede ser conveniente controlar el acceso de una manera no compatible con los derechos de acceso estándar. Para facilitar esto, Active Directory Domain Services permite ampliar el mecanismo de control de acceso estándar a través del objeto controlAccessRight.
Los derechos de acceso de control se usan de tres maneras:
Para los derechos extendidos, que son operaciones especiales no cubiertas por el conjunto estándar de derechos de acceso. Por ejemplo, a la clase de usuario se le puede conceder un derecho "Enviar como" que exchange, Outlook o cualquier otra aplicación de correo puede usar para determinar si un usuario determinado puede tener otro usuario enviar correo en su nombre. Los derechos extendidos se crean en controlAccessRight objetos estableciendo el atributo validAccesses igual al derecho de acceso ADS_RIGHT_DS_CONTROL_ACCESS (256).
Para definir conjuntos de propiedades, para habilitar el control del acceso a un subconjunto de atributos de un objeto, en lugar de simplemente a los atributos individuales. Con los derechos de acceso estándar, una única ACE puede conceder o denegar el acceso a todos los atributos de un objeto o a un único atributo. Los derechos de acceso de control proporcionan una manera de que una única ACE controle el acceso a un conjunto de atributos. Por ejemplo, la clase user admite el conjunto de propiedades personal-Information que incluye atributos como la dirección postal y el número de teléfono. Los derechos de conjunto de propiedades se crean en controlAccessRight objetos estableciendo el atributo validAccesses para que contenga tanto el ACTR_DS_READ_PROP (16) como los derechos de acceso ACTRL_DS_WRITE_PROP (32).
Para las escrituras validadas, para requerir que el sistema realice la comprobación de valores o la validación, más allá de lo que requiere el esquema, antes de escribir un valor en un atributo en un objeto DS. Esto garantiza que el valor especificado para el atributo se ajusta a la semántica necesaria, se encuentra dentro de un intervalo legal de valores o se somete a alguna otra comprobación especial que no se realizaría para una escritura de bajo nivel simple en el atributo. Una escritura validada está asociada a un permiso especial distinto del permiso "Escribir <atributo>" que permitiría escribir cualquier valor en el atributo sin realizar ninguna comprobación de valores. La escritura validada es la única de los tres derechos de acceso de control que no se pueden crear como un nuevo derecho de acceso de control para una aplicación. Esto se debe a que el sistema existente no se puede modificar mediante programación para aplicar la validación. Si se configuró un derecho de acceso de control en el sistema como escritura validada, el atributo validAccesses en los objetos controlAccessRight contendrá el derecho de acceso ADS_RIGHT_DS_SELF (8).
Solo hay tres escrituras validadas definidas en el esquema de Windows 2000 Active Directory:
- Self-Membership permiso en un objeto Group, que permite que la cuenta del autor de la llamada, pero ninguna otra cuenta, se agregue o quite de la pertenencia de un grupo.
- DNS validado:Host-Name permiso en un objeto Computer, que permite establecer un atributo de nombre de host DNS compatible con el nombre de equipo y el nombre de dominio.
- Validated-SPN permiso en un objeto Computer, que permite establecer un atributo SPN que sea compatible con el nombre de host DNS del equipo.
Para mayor comodidad, cada derecho de acceso de control se representa mediante un objeto controlAccessRight en el contenedor de Extended-Rights de la partición Configuración, aunque los conjuntos de propiedades y las escrituras validadas no se consideren derechos extendidos. Dado que el contenedor de configuración se replica en todo el bosque, los derechos de control se propagan entre todos los dominios de un bosque. Hay una serie de derechos de acceso de control predefinidos y, por supuesto, también se pueden definir derechos de acceso personalizados.
Todos los derechos de acceso de control se pueden ver como permisos en el Editor de ACL.
Para obtener más información y un ejemplo de código de C++ y Visual Basic que establece una ACE para controlar el acceso de lectura y escritura a un conjunto de propiedades, vea Código de ejemplo para establecer una ACE en un objeto de directorio.
Para obtener más información sobre el uso de derechos de acceso de control para controlar el acceso a operaciones especiales, consulte:
- crear un derecho de acceso de control
- Establecer una ACE derecha de acceso de control en el de ACL de un objeto
- Comprobar un derecho de acceso de control en el de ACL de un objeto
- leer un conjunto de derechos de acceso de control en el de ACL de un objeto