アプリケーション ディレクトリ パーティションのセキュリティおよびアクセス制御モデルは、Active Directory Domain Services の他のパーティションの場合と同じです。 通常のユーザーは、それらのオブジェクトに配置された ACL の対象となるアプリケーション ディレクトリ パーティション内のオブジェクトにアクセスできます。 詳細については、「Active Directory Domain Servicesのオブジェクトへのアクセスの制御」を参照してください。
ただし、アプリケーション ディレクトリ パーティションはディレクトリ サービス内の複数のセキュリティ ドメインにまたがる可能性があるため、アプリケーション ディレクトリ パーティションでのオブジェクトの作成時に、オブジェクトのスキーマ クラスのdefaultSecurityDescriptor でドメイン相対の既知の SID 文字列定数を解釈する方法が問題になります。 たとえば、"DA" がドメイン管理者グループを参照しているが、アプリケーション ディレクトリ パーティションでは、"DA" グループが参照するドメインがわからない場合です。
この問題を解決するために、アプリケーション ディレクトリ パーティションの crossRef オブジェクトには、そのアプリケーション ディレクトリ パーティションの参照ドメインの識別名を含む msDS-SDReferenceDomain 属性があります。 セキュリティ システムは、指定されたドメインを使用して、そのアプリケーション ディレクトリ パーティションに作成されたオブジェクトにアタッチされている既定のセキュリティ記述子のローカル ドメイン参照を解釈します。 参照ドメインは、アプリケーション ディレクトリ パーティションの crossRef オブジェクトが作成されるときに指定できます。 ただし、そのためには、アプリケーション ディレクトリ パーティション用に crossRef オブジェクトを事前に作成する必要があります。 参照ドメインが指定されていない場合、システムは次のいずれかの条件に基づいて参照ドメインを自動的に設定します。
- アプリケーション ディレクトリ パーティション オブジェクトの親が別のアプリケーション ディレクトリ パーティションである場合は、親アプリケーション ディレクトリ パーティションの msDS-SDReferenceDomain 属性が参照ドメインに使用されます。
- 親オブジェクトがドメインの場合、そのドメインは参照ドメインに使用されます。
- 親オブジェクトがない場合は、フォレスト ルート ドメインが参照ドメインに使用されます。
crossRef 属性は、パーティションの作成後に参照ドメインに変更することもできますが、これは推奨されません。
アプリケーション ディレクトリ パーティション内のオブジェクトの ACL でローカル グループが指定されている場合も、同様の問題が発生します。 この場合、msDS-SDReferenceDomain 属性を使用して、ローカル グループの参照ドメインを解釈することはできません。 この問題を回避するには、アプリケーション ディレクトリ パーティション オブジェクトの ACL でローカル グループを使用しないでください。