Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El modelo de seguridad y control de acceso para las particiones de directorio de aplicaciones es el mismo que para otras particiones en Active Directory Domain Services. Los usuarios normales pueden acceder a objetos de una partición de directorio de aplicación sujeto a las ACL colocadas en esos objetos. Para obtener más información, consulte Control del acceso a objetos en Active Directory Domain Services.
Sin embargo, dado que las particiones de directorio de aplicaciones pueden abarcar varios dominios de seguridad en un servicio de directorio, surge la pregunta de cómo interpretar constantes de cadena de SID conocidas relativas al dominio en la defaultSecurityDescriptor de la clase de esquema de un objeto en el momento de la creación de objetos en una partición de directorio de aplicación. Por ejemplo, si "DA" hace referencia al grupo de administradores de dominio, pero en una partición de directorio de aplicación, no se sabe a qué dominio hace referencia el grupo "DA".
Para solucionar este problema, el objeto crossRef de una partición de directorio de aplicación tiene un atributo msDS-SDReferenceDomain que contiene el nombre distintivo del dominio de referencia para esa partición de directorio de aplicación. El sistema de seguridad usa el dominio especificado para interpretar las referencias de dominio local para los descriptores de seguridad predeterminados asociados a los objetos creados en esa partición del directorio de la aplicación. El dominio de referencia se puede especificar cuando se crea el objeto crossRef para una partición de directorio de aplicación. Sin embargo, esto requiere que se cree previamente un objeto crossRef crossRef para la partición del directorio de la aplicación. Si no se especifica ningún dominio de referencia, el sistema establece automáticamente el dominio de referencia en función de una de las condiciones siguientes:
- Si el elemento primario del objeto de partición del directorio de la aplicación es otra partición de directorio de aplicación, el msDS-SDReferenceDomain atributo de la partición del directorio de aplicación principal se usa para el dominio de referencia.
- Si el objeto primario es un dominio, ese dominio se usa para el dominio de referencia.
- Si no hay ningún objeto primario, el dominio raíz del bosque se usa para el dominio de referencia.
El atributo crossRef también se puede cambiar al dominio de referencia después de crear la partición, pero no se recomienda.
Se produce un problema similar si se especifica un grupo local en una ACL para un objeto en una partición de directorio de aplicación. En este caso, el atributo msDS-SDReferenceDomain no se puede usar para interpretar el dominio de referencia de un grupo local. Para evitar este problema, los grupos locales no deben usarse en las ACL de los objetos de partición del directorio de la aplicación.