Freigeben über


Funktionsweise von Access Control in Active Directory Domain Services

Die Zugriffssteuerung für Objekte in Active Directory Domain Services basiert auf Windows NT- und Windows 2000-Zugriffssteuerungsmodellen. Weitere Informationen und eine ausführliche Beschreibung dieses Modells und seiner Komponenten wie Sicherheitsbeschreibungen, Zugriffstoken, SIDs, ACLs und ACEs finden Sie unter Access Control Model.

Zugriffsberechtigungen für Ressourcen in Active Directory Domain Services werden in der Regel mithilfe eines Zugriffssteuerungseintrags (Access Control Entry, ACE) gewährt. Ein ACE definiert eine Zugriffs- oder Überwachungsberechtigung für ein Objekt für einen bestimmten Benutzer oder eine bestimmte Gruppe. Eine Zugriffssteuerungsliste (Access Control List, ACL) ist die geordnete Auflistung von Zugriffssteuerungseinträgen, die für ein Objekt definiert sind. Ein Sicherheitsdeskriptor unterstützt Eigenschaften und Methoden, die ACLs erstellen und verwalten. Weitere Informationen zu Sicherheitsmodellen finden Sie unter Sicherheit oder windows 2000 Server Resource Kit. (Diese Ressource ist in einigen Sprachen und Ländern oder Regionen möglicherweise nicht verfügbar.)

Die grundlegende Gliederung des Sicherheitsmodells lautet:

  • Sicherheitsbeschreibung. Jedes Verzeichnisobjekt verfügt über einen eigenen Sicherheitsdeskriptor, der Sicherheitsdaten enthält, die das Objekt schützen. Der Sicherheitsdeskriptor kann eine diskretionäre Zugriffssteuerungsliste (DACL) enthalten. Eine DACL enthält eine Liste von ACEs. Jeder ACE gewährt oder verweigert einem Benutzer oder einer Gruppe eine Reihe von Zugriffsrechten. Die Zugriffsrechte entsprechen den Vorgängen, z. B. Lese- und Schreibeigenschaften, die für das Objekt ausgeführt werden können.
  • Sicherheitskontext. Wenn auf ein Verzeichnisobjekt zugegriffen wird, gibt die Anwendung die Anmeldeinformationen des Sicherheitsprinzipals an, der den Zugriff versucht. Bei der Authentifizierung bestimmen diese Anmeldeinformationen den Sicherheitskontext der Anwendung, der die Gruppenmitgliedschaften und Berechtigungen enthält, die dem Sicherheitsprinzipal zugeordnet sind. Weitere Informationen zu Sicherheitskontexten finden Sie unter Sicherheitskontexte und Active Directory Domain Services.
  • Zugriffsüberprüfung. Das System gewährt nur Zugriff auf ein Objekt, wenn der Sicherheitsdeskriptor des Objekts dem Sicherheitsprinzipal, der den Vorgang versucht, (oder gruppen, zu denen der Sicherheitsprinzipal gehört) die erforderlichen Zugriffsrechte erteilt.

In der folgenden Tabelle sind ADSI-Schnittstellen aufgeführt, die zum Bearbeiten der Zugriffssteuerungsfeatures von Active Directory Domain Services verwendet werden.

Schnittstelle BESCHREIBUNG
IADsSecurityDescriptor Wird zum Lesen und Schreiben von Sicherheitseigenschaften eines Verzeichnisdienstobjekts verwendet.
IADsAccessControlList Dient zum Verwalten und Aufzählen aller ACEs für ein Verzeichnisdienstobjekt.
IADsAccessControlEntry Wird zum Lesen und Schreiben von ACE-Eigenschaften verwendet.