Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wszystkie obiekty w usługach Active Directory Domain Services obsługują standardowy zestaw praw dostępu zdefiniowanych w wyliczaniu ADS_RIGHTS_ENUM. Te prawa dostępu mogą być używane w wpisach kontroli dostępu (ACL) deskryptora zabezpieczeń obiektu w celu kontrolowania dostępu do obiektu; oznacza to, że aby kontrolować, kto może wykonywać standardowe operacje, takie jak tworzenie i usuwanie obiektów podrzędnych, lub odczytywanie i zapisywanie atrybutów obiektu. Jednak w przypadku niektórych klas obiektów pożądane może być kontrolowanie dostępu w sposób nieobsługiwany przez standardowe prawa dostępu. Aby to ułatwić, usługi Active Directory Domain Services umożliwiają rozszerzenie standardowego mechanizmu kontroli dostępu za pośrednictwem obiektu controlAccessRight.
Prawa dostępu kontroli są używane na trzy sposoby:
W przypadku praw rozszerzonych, które są operacjami specjalnymi, które nie są objęte standardowym zestawem praw dostępu. Na przykład klasa użytkownika może mieć prawo "Wyślij jako", które może być używane przez program Exchange, Outlook lub inną aplikację poczty, aby określić, czy określony użytkownik może mieć innego użytkownika wysyłać wiadomości e-mail w ich imieniu. Rozszerzone prawa są tworzone w obiektach controlAccessRight, ustawiając atrybut validAccesses równy prawu dostępu ADS_RIGHT_DS_CONTROL_ACCESS (256).
Aby zdefiniować zestawy właściwości, aby umożliwić kontrolowanie dostępu do podzestawu atrybutów obiektu, a nie tylko do poszczególnych atrybutów. Korzystając ze standardowych praw dostępu, pojedyncza ACE może udzielić lub odmówić dostępu do wszystkich atrybutów obiektu lub pojedynczego atrybutu. Kontrola praw dostępu umożliwia pojedynczemu ACE kontrolowanie dostępu do zestawu atrybutów. Na przykład klasa użytkownika obsługuje zestaw właściwości Personal-Information zawierający atrybuty, takie jak adres ulicy i numer telefonu. Prawa zestawu właściwości są tworzone w obiektach controlAccessRight, ustawiając atrybut validAccesses zawierający zarówno ACTR_DS_READ_PROP (16), jak i prawa dostępu ACTRL_DS_WRITE_PROP (32).
W przypadku zweryfikowanych zapisów, aby wymagać od systemu sprawdzania wartości lub sprawdzania poprawności, poza tym, co jest wymagane przez schemat, przed zapisaniem wartości do atrybutu w obiekcie DS. Gwarantuje to, że wartość wprowadzona dla atrybutu jest zgodna z wymaganą semantyczną, znajduje się w zakresie prawnym wartości lub przechodzi inne specjalne sprawdzanie, które nie zostanie wykonane dla prostego zapisu niskiego poziomu do atrybutu. Zweryfikowany zapis jest skojarzony ze specjalnym uprawnieniem, które różni się od uprawnienia "Zapisywanie <atrybutu>", które pozwoliłoby na zapisanie dowolnej wartości w atrybucie bez wykonywanego sprawdzania wartości. Zweryfikowany zapis jest jedynym z trzech uprawnień kontroli dostępu, których nie można utworzyć jako nowego prawa dostępu kontroli dla aplikacji. Jest to spowodowane tym, że istniejący system nie może być programowo modyfikowany w celu wymuszania walidacji. Jeśli w systemie skonfigurowano prawo dostępu do kontroli jako zweryfikowany zapis, validAccesses atrybut na controlAccessRight obiekty będą zawierać prawo dostępu ADS_RIGHT_DS_SELF (8).
W schemacie usługi Active Directory systemu Windows 2000 zdefiniowano tylko trzy zweryfikowane zapisy:
- Self-Membership uprawnienia do obiektu grupy, który umożliwia kontu obiektu wywołującego, ale żadne inne konto, które ma zostać dodane lub usunięte z członkostwa grupy.
- Validated-DNS-Host-Name uprawnienie na obiekcie komputera, który umożliwia ustawienie atrybutu nazwy hosta DNS zgodnego z nazwą komputera i nazwą domeny.
- Validated-SPN uprawnienia do obiektu Komputer, który umożliwia ustawienie atrybutu SPN zgodnego z nazwą hosta DNS komputera.
Dla wygody każde prawo dostępu kontroli jest reprezentowane przez controlAccessRight obiektu w kontenerze Extended-Rights partycji Konfiguracji, mimo że zestawy właściwości i zweryfikowane zapisy nie są uważane za rozszerzone prawa. Ponieważ kontener Konfiguracji jest replikowany w całym lesie, prawa kontroli są propagowane we wszystkich domenach w lesie. Istnieje wiele wstępnie zdefiniowanych praw dostępu do kontroli i oczywiście można zdefiniować niestandardowe prawa dostępu.
Wszystkie uprawnienia kontroli dostępu można wyświetlić jako uprawnienia w Edytorze listy ACL.
Aby uzyskać więcej informacji i przykład kodu C++ i Visual Basic, który ustawia ACE na kontrolowanie dostępu do odczytu/zapisu w zestawie właściwości, zobacz Przykładowy kod ustawiania ACE na obiekcie katalogu.
Aby uzyskać więcej informacji o korzystaniu z praw dostępu do kontroli dostępu do specjalnych operacji, zobacz:
- tworzenie prawa dostępu kontroli
- ustawianie kontroli dostępu do praw aCE w listy ACL obiektu
- sprawdzanie prawa dostępu do kontroli w listy ACL obiektu
- odczytywanie zestawu praw dostępu kontroli w listy ACL obiektu