Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O modelo de controle de segurança e acesso para partições de diretório de aplicativos é o mesmo para outras partições no Active Directory Domain Services. Os usuários normais podem acessar objetos em uma partição de diretório de aplicativo sujeita às ACLs colocadas nesses objetos. Para obter mais informações, consulte Controlando o acesso a objetos no Active Directory Domain Services.
No entanto, como as partições de diretório de aplicativo podem abranger vários domínios de segurança em um serviço de diretório, surge a questão de como interpretar constantes de cadeia de caracteres SID relativas ao domínio no defaultSecurityDescriptor da classe de esquema de um objeto no momento da criação do objeto em uma partição de diretório de aplicativo. Por exemplo, se "DA" se referir ao grupo de administradores de domínio, mas em uma partição de diretório de aplicativo, não se sabe a qual domínio o grupo "DA" se refere.
Para resolver esse problema, o objeto crossRef de uma partição de diretório de aplicativo tem um atributo msDS-SDReferenceDomain que contém o nome diferenciado do domínio de referência para a partição do diretório do aplicativo. O sistema de segurança usa o domínio especificado para interpretar referências de domínio local para descritores de segurança padrão anexados a objetos criados na partição do diretório do aplicativo. O domínio de referência pode ser especificado quando o objeto crossRef para uma partição de diretório de aplicativo é criado. No entanto, isso requer que um objeto crossRef seja pré-criado para a partição do diretório do aplicativo. Se nenhum domínio de referência for especificado, o sistema definirá automaticamente o domínio de referência com base em uma das seguintes condições:
- Se o pai do objeto de partição do diretório do aplicativo for outra partição de diretório de aplicativo, o atributo msDS-SDReferenceDomain da partição do diretório do aplicativo pai será usado para o domínio de referência.
- Se o objeto pai for um domínio, esse domínio será usado para o domínio de referência.
- Se não houver nenhum objeto pai, o domínio raiz da floresta será usado para o domínio de referência.
O atributo crossRef também pode ser alterado para o domínio de referência após a criação da partição, mas isso não é recomendado.
Um problema semelhante ocorrerá se um grupo local for especificado em uma ACL para um objeto em uma partição de diretório de aplicativo. Nesse caso, o atributo msDS-SDReferenceDomain não pode ser usado para interpretar o domínio de referência de um grupo local. Para evitar esse problema, os grupos locais não devem ser usados nas ACLs dos objetos de partição do diretório do aplicativo.