Vererbung und Delegierung der Verwaltung
Active Directory Domain Services unterstützt die Vererbung von Berechtigungen nach unten in der Objektstruktur, damit Verwaltungsaufgaben auf höheren Ebenen in der Struktur ausgeführt werden können. Auf diese Weise können Administratoren vererbbare Berechtigungen für Objekte in der Nähe des Stamms einrichten, z. B. Domänen- und Organisationseinheiten, und diese Berechtigungen werden an verschiedene Objekte in der Struktur verteilt.
Die Vererbung kann pro ACE festgelegt werden. In der folgenden Tabelle sind Flags aufgeführt, die in der AceFlags- angegeben werden können, um die Vererbung der ACE zu steuern.
| Flagge | Beschreibung |
|---|---|
|
ADS_ACEFLAG_INHERIT_ACE |
Bewirkt, dass die ACE in der Struktur geerbt wird. |
|
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
Bewirkt, dass die ACE nur eine Ebene in der Struktur geerbt wird. |
|
ADS_ACEFLAG_INHERIT_ONLY_ACE |
Bewirkt, dass die ACE für das Objekt ignoriert wird, für das es angegeben ist, nur geerbt werden und wirksam sein, wo sie geerbt wurde. |
Zusätzlich zum Festlegen der Vererbung unterstützt Active Directory Domain Services objektspezifische Vererbung. Dadurch können die vererbbaren ACEs in der Struktur geerbt werden, aber nur für einen bestimmten Objekttyp wirksam sein. Dies ist äußerst nützlich beim Delegieren der Verwaltung. Dies kann beispielsweise verwendet werden, um eine objektspezifische vererbbare ACE in einer Organisationseinheit festzulegen, die es einer Gruppe ermöglicht, vollzugriff auf alle Benutzerobjekte in der Organisationseinheit zu haben, aber nichts anderes. Dadurch wird die Verwaltung von Benutzern in dieser Organisationseinheit an die Benutzer in dieser Gruppe delegiert.
Delegieren der Dienstverwaltung mit Sicherheitsgruppen
Verwenden Sie Sicherheitsgruppen, um Administratorrollen zu definieren und zu delegieren, die Ihrem Anwendungsserver zugeordnet sind. Ihr Dienst kann z. B. einer Gruppe "MyService-Administratoren" zugeordnet sein. Benutzer, die als MyService-Administratoren identifiziert werden, werden der Gruppe "MeineService-Administratoren" hinzugefügt. Das Setupprogramm für MyService kann ACLs im Verzeichnis festlegen, um MyService-Administratoren ausreichende Berechtigungen zum Lesen/Schreiben von MyService-bezogenen Attributen oder zum Erstellen von MyService-spezifischen Objekten zu ermöglichen.
Rollen in Sicherheitsgruppen für Computer, auf denen Ihr Dienst ausgeführt wird
Verwenden Sie Sicherheitsgruppen, um die Gruppe von Computern zu definieren, denen der Zugriff auf die Objekte Ihres Diensts im Verzeichnis gewährt wird. Ihr Dienst kann z. B. einer Gruppe "MyService-Server" zugeordnet sein. Alle Computer, auf denen der MyService-Server ausgeführt wird, werden der Gruppe "MyService-Server" hinzugefügt, und diese Gruppe kann dann Zugriff auf Teile des Verzeichnisses erhalten, auf denen MyService-Server Daten lesen/schreiben müssen. Das Setupprogramm für MyService kann ACLs im Verzeichnis festlegen, um myService-Server ausreichende Berechtigungen zum Lesen/Schreiben von MyService-bezogenen Attributen oder zum Erstellen von MyService-spezifischen Objekten zu ermöglichen.