Freigeben über

Steuern von Zugriffsrechten (AD DS)

  • Artikel

Alle Objekte in Active Directory Domain Services unterstützen einen Standardsatz von Zugriffsrechten, die in der ADS_RIGHTS_ENUM Enumeration definiert sind. Diese Zugriffsrechte können in den Zugriffssteuerungseinträgen (Access Control Entries, ACEs) des Sicherheitsdeskriptors eines Objekts verwendet werden, um den Zugriff auf das Objekt zu steuern; d. h. um zu steuern, wer Standardvorgänge ausführen kann, z. B. das Erstellen und Löschen untergeordneter Objekte, oder das Lesen und Schreiben der Objektattribute. Für einige Objektklassen kann es jedoch wünschenswert sein, den Zugriff auf eine Weise zu steuern, die von den Standardzugriffsrechten nicht unterstützt wird. Um dies zu erleichtern, ermöglichen Active Directory Domain Services die Erweiterung des standardmäßigen Zugriffssteuerungsmechanismus über das controlAccessRight-Objekt.

Zugriffsberechtigungen für die Steuerung werden auf drei Arten verwendet:

  • Für erweiterte Rechte, die spezielle Vorgänge sind, die nicht von den Standardgruppen von Zugriffsrechten abgedeckt werden. Beispielsweise kann der Benutzerklasse ein "Senden als"-Recht gewährt werden, das von Exchange, Outlook oder einer anderen E-Mail-Anwendung verwendet werden kann, um zu bestimmen, ob ein bestimmter Benutzer E-Mails in ihrem Auftrag senden kann. Erweiterte Rechte werden für controlAccessRight--Objekte erstellt, indem das attribut validAccesses auf den Zugriffsrecht ADS_RIGHT_DS_CONTROL_ACCESS (256) festgelegt wird.

  • Zum Definieren von Eigenschaftensätzen können Sie das Steuern des Zugriffs auf eine Teilmenge der Attribute eines Objekts und nicht nur auf die einzelnen Attribute ermöglichen. Mit den Standardzugriffsrechten kann ein einzelner ACE allen Attributen eines Objekts oder einem einzelnen Attribut Zugriff gewähren oder verweigern. Die Steuerung von Zugriffsrechten bietet eine Möglichkeit für eine einzelne ACE, den Zugriff auf eine Gruppe von Attributen zu steuern. Die Benutzerklasse unterstützt z. B. den Eigenschaftensatz für persönliche Informationen, der Attribute wie Straße und Telefonnummer enthält. Eigenschaftensatzrechte werden für controlAccessRight--Objekte erstellt, indem sie das attribut validAccesses so festlegen, dass sowohl die ACTR_DS_READ_PROP (16) als auch die ACTRL_DS_WRITE_PROP -Zugriffsrechte (32) enthalten sind.

  • Für validierte Schreibvorgänge müssen Sie vor dem Schreiben eines Werts in ein Attribut für ein DS-Objekt eine Wertüberprüfung oder -überprüfung durchführen, die vom Schema benötigt wird. Dadurch wird sichergestellt, dass der für das Attribut eingegebene Wert den erforderlichen Semantiken entspricht, innerhalb eines zulässigen Wertebereichs liegt oder einer anderen speziellen Überprüfung unterzogen wird, die für einen einfachen Schreibvorgang auf niedriger Ebene in das Attribut nicht ausgeführt werden würde. Ein überprüfter Schreibvorgang ist einer speziellen Berechtigung zugeordnet, die sich von der Berechtigung "Write <Attribut>" unterscheidet, die es ermöglichen würde, dass ein Beliebiger Wert ohne Wertüberprüfung in das Attribut geschrieben werden kann. Der überprüfte Schreibzugriff ist die einzige der drei Kontrollzugriffsrechte, die nicht als neues Steuerelementzugriffsrecht für eine Anwendung erstellt werden können. Dies liegt daran, dass das vorhandene System nicht programmgesteuert geändert werden kann, um die Validierung zu erzwingen. Wenn im System ein Steuerelementzugriffsrecht als validierter Schreibzugriff eingerichtet wurde, enthält das validAccesses-Attribut für die objekte controlAccessRight das Zugriffsrecht ADS_RIGHT_DS_SELF (8).

    Im Windows 2000 Active Directory-Schema sind nur drei überprüfte Schreibvorgänge definiert:

    • Self-Membership Berechtigung für ein Group-Objekt, mit dem das Konto des Anrufers, jedoch kein anderes Konto, hinzugefügt oder aus der Mitgliedschaft einer Gruppe entfernt werden kann.
    • Valid-DNS-Host-Name Berechtigung für ein Computerobjekt, das ein DNS-Hostnamen-Attribut zulässt, das mit dem Computernamen und dem Domänennamen kompatibel ist, festgelegt werden kann.
    • Validated-SPN Berechtigung für ein Computer-Objekt, das ein SPN-Attribut zulässt, das mit dem DNS-Hostnamen des Computers kompatibel ist.

Aus Gründen der Einfachheit wird jedes Steuerelementzugriffsrecht durch ein controlAccessRight -Objekt im container Extended-Rights der Konfigurationspartition dargestellt, auch wenn Eigenschaftssätze und überprüfte Schreibvorgänge nicht als erweiterte Rechte betrachtet werden. Da der Konfigurationscontainer in der gesamten Gesamtstruktur repliziert wird, werden Die Kontrollrechte in allen Domänen in einer Gesamtstruktur verteilt. Es gibt eine Reihe vordefinierter Kontrollzugriffsrechte, und natürlich können auch benutzerdefinierte Zugriffsrechte definiert werden.

Alle Steuerungszugriffsrechte können im ACL-Editor als Berechtigungen angezeigt werden.

Weitere Informationen und ein C++- und Visual Basic-Codebeispiel zum Steuern des Lese-/Schreibzugriffs auf einen Eigenschaftensatz finden Sie unter Beispielcode zum Festlegen einer ACE für ein Verzeichnisobjekt-.

Weitere Informationen zur Verwendung von Zugriffsberechtigungen zur Steuerung des Zugriffs auf spezielle Vorgänge finden Sie unter: