Partager via

Sécurité des partitions d’annuaire d’applications

  • Article

Le modèle de contrôle d’accès et de sécurité pour les partitions d’annuaire d’applications est le même que pour les autres partitions dans les services de domaine Active Directory. Les utilisateurs normaux peuvent accéder aux objets d’une partition d’annuaire d’applications soumis aux listes de contrôle d’accès placées sur ces objets. Pour plus d’informations, consultez Contrôle de l’accès aux objets dans les services de domaine Active Directory.

Toutefois, étant donné que les partitions d’annuaire d’applications peuvent couvrir plusieurs domaines de sécurité dans un service d’annuaire, il se pose la question de savoir comment interpréter les constantes de chaîne SID connues relatives au domaine dans la defaultSecurityDescriptor de la classe de schéma d’un objet au moment de la création d’objets dans une partition d’annuaire d’application. Par exemple, si « DA » fait référence au groupe d’administrateurs de domaine, mais dans une partition d’annuaire d’applications, il n’est pas connu le domaine auquel le groupe « DA » fait référence.

Pour résoudre ce problème, l’objet crossRef d’une partition d’annuaire d’applications a un attribut msDS-SDReferenceDomain qui contient le nom unique du domaine de référence pour cette partition d’annuaire d’applications. Le système de sécurité utilise le domaine spécifié pour interpréter les références de domaine local pour les descripteurs de sécurité par défaut attachés aux objets créés dans cette partition d’annuaire d’application. Le domaine de référence peut être spécifié lorsque l’objet crossRef pour une partition de répertoire d’application est créé. Toutefois, cela nécessite qu’un objet crossRef soit précréé pour la partition du répertoire d’application. Si aucun domaine de référence n’est spécifié, le système définit automatiquement le domaine de référence en fonction de l’une des conditions suivantes :

  • Si le parent de l’objet de partition de répertoire d’application est une autre partition de répertoire d’application, l’attribut msDS-SDReferenceDomain de la partition du répertoire d’application parent est utilisé pour le domaine de référence.
  • Si l’objet parent est un domaine, ce domaine est utilisé pour le domaine de référence.
  • S’il n’existe aucun objet parent, le domaine racine de forêt est utilisé pour le domaine de référence.

L’attribut crossRef peut également être remplacé par le domaine de référence une fois la partition créée, mais cela n’est pas recommandé.

Un problème similaire se produit si un groupe local est spécifié dans une liste de contrôle d’accès pour un objet dans une partition de répertoire d’application. Dans ce cas, l’attribut msDS-SDReferenceDomain ne peut pas être utilisé pour interpréter le domaine de référence pour un groupe local. Pour éviter ce problème, les groupes locaux ne doivent pas être utilisés dans les ACL des objets de partition d’annuaire d’applications.