Compartir a través de


Herencia y delegación de administración

Servicios de dominio de Active Directory admite la herencia de permisos en el árbol de objetos para permitir que las tareas de administración se realicen en niveles superiores en el árbol. Esto permite a los administradores configurar permisos heredables en objetos cerca de la raíz, como el dominio y las unidades organizativas, y tener esos permisos distribuidos en varios objetos del árbol.

La herencia se puede establecer por ACE. En la tabla siguiente se enumeran las marcas que se pueden especificar en AceFlags para controlar la herencia de la ACE.

Marca Descripción
ADS_ACEFLAG_INHERIT_ACE
Hace que la ACE se herede en el árbol.
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE
Hace que la ACE se herede solo un nivel en el árbol.
ADS_ACEFLAG_INHERIT_ONLY_ACE
Hace que la ACE se omita en el objeto en el que se especifica, solo se hereda y sea efectiva cuando se hereda.

Además de establecer la herencia, Servicios de dominio de Active Directory admite la herencia específica del objeto. Esto permite que los ASE heredados se hereden en el árbol, pero solo sean efectivos en un tipo específico de objeto. Esto es muy útil para delegar la administración. Por ejemplo, esto se puede usar para establecer una ACE heredera específica del objeto en una unidad organizativa que permite a un grupo tener control total sobre todos los objetos de usuario de la unidad organizativa, pero nada más. Por lo tanto, la administración de los usuarios de esa unidad organizativa se delega a los usuarios de ese grupo.

Delegación de la administración de servicios con grupos de seguridad

Use grupos de seguridad para definir y delegar roles administrativos asociados al servidor de aplicaciones. Por ejemplo, el servicio puede estar asociado a un grupo MyService Administrators. Los usuarios identificados como administradores de MyService se agregarán al grupo Administradores de MyService. El programa de instalación de MyService puede establecer ACL en el directorio para permitir a los administradores de MyService permisos suficientes para leer y escribir atributos relacionados con MyService o crear objetos específicos de MyService, por ejemplo.

Roles en grupos de seguridad para equipos que ejecutan el servicio

Use grupos de seguridad para definir el conjunto de equipos a los que se concede acceso a los objetos del servicio en el directorio. Por ejemplo, el servicio puede estar asociado a un grupo MyService Servers. Todos los equipos que ejecutan el servidor MyService se agregan al grupo Servidores MyService y este grupo puede tener acceso a partes del directorio donde los servidores MyService necesitan leer y escribir datos. El programa de instalación de MyService puede establecer ACL en el directorio para habilitar los permisos suficientes para los servidores MyService para leer y escribir atributos relacionados con MyService o crear objetos específicos de MyService, por ejemplo.