Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Model zabezpieczeń i kontroli dostępu dla partycji katalogu aplikacji jest taki sam jak w przypadku innych partycji w usługach Active Directory Domain Services. Normalni użytkownicy mogą uzyskiwać dostęp do obiektów w partycji katalogu aplikacji, które podlegają listom ACL umieszczonym na tych obiektach. Aby uzyskać więcej informacji, zobacz Kontrolowanie dostępu do obiektów w usługach Active Directory Domain Services.
Jednak ponieważ partycje katalogu aplikacji mogą obejmować wiele domen zabezpieczeń w usłudze katalogowej, pojawia się pytanie, jak interpretować dobrze znane stałe ciągów SID w defaultSecurityDescriptor klasy schematu obiektu w momencie tworzenia obiektu w partycji katalogu aplikacji. Jeśli na przykład "DA" odwołuje się do grupy administratorów domeny, ale w partycji katalogu aplikacji nie wiadomo, do której domeny odwołuje się grupa "DA".
Aby rozwiązać ten problem, obiekt crossRef partycji katalogu aplikacji ma msDS-SDReferenceDomain atrybut zawierający nazwę wyróżniającą domeny referencyjnej dla tej partycji katalogu aplikacji. System zabezpieczeń używa określonej domeny do interpretowania odwołań do domeny lokalnej dla domyślnych deskryptorów zabezpieczeń dołączonych do obiektów utworzonych w tej partycji katalogu aplikacji. Domenę referencyjną można określić, gdy zostanie utworzony obiekt crossRef dla partycji katalogu aplikacji. Wymaga to jednak, aby obiekt crossRef został wstępnie utworzony dla partycji katalogu aplikacji. Jeśli nie określono domeny referencyjnej, system automatycznie ustawia domenę referencyjną na podstawie jednego z następujących warunków:
- Jeśli element nadrzędny obiektu partycji katalogu aplikacji jest inną partycją katalogu aplikacji, msDS-SDReferenceDomain atrybut partycji katalogu aplikacji nadrzędnej jest używany dla domeny referencyjnej.
- Jeśli obiekt nadrzędny jest domeną, ta domena jest używana dla domeny referencyjnej.
- Jeśli nie ma obiektu nadrzędnego, domena główna lasu jest używana dla domeny referencyjnej.
Atrybut crossRef można również zmienić na domenę referencyjną po utworzeniu partycji, ale nie jest to zalecane.
Podobny problem występuje, jeśli grupa lokalna jest określona w liście ACL dla obiektu w partycji katalogu aplikacji. W tym przypadku atrybut msDS-SDReferenceDomain nie może służyć do interpretowania domeny referencyjnej dla grupy lokalnej. Aby uniknąć tego problemu, grupy lokalne nie powinny być używane w listach ACL obiektów partycji katalogu aplikacji.