Partager via


Définition des descripteurs de sécurité sur les objets New Directory

Lorsque vous créez un objet dans services de domaine Active Directory, vous pouvez créer explicitement un descripteur de sécurité, puis définir ce descripteur de sécurité comme propriété nTSecurityDescriptor de l’objet. Pour plus d’informations, consultez Création d’un descripteur de sécurité pour un objet New Directory.

services de domaine Active Directory utilisez les règles suivantes pour définir la liste dacl dans le descripteur de sécurité du nouvel objet :

  • Si vous spécifiez explicitement un descripteur de sécurité lors de la création de l’objet, le système fusionne tous les AIC hérités de l’objet parent dans le daCL spécifié, sauf si le bit SE_DACL_PROTECTED est défini dans les bits de contrôle du descripteur de sécurité.
  • Si vous ne spécifiez pas de descripteur de sécurité, le système génère la LISTE de contrôle d’accès de l’objet en fusionnant tous les AIC hérités de l’objet parent dans le daCL par défaut de l’objet classSchema pour la classe de l’objet.
  • Si le schéma n’a pas de DACL par défaut, la liste DACL de l’objet est la liste DACL par défaut du jeton d’identité principal ou d’emprunt d’identité du créateur.
  • S’il n’existe aucune liste de contrôle d’accès par défaut, héritée ou spécifiée, le système crée l’objet sans DACL, ce qui permet à tout le monde d’accéder à l’objet.

Le système utilise un algorithme similaire pour créer une liste de contrôle d’accès partagé pour un objet de service d’annuaire.

Le propriétaire et le groupe principal dans le descripteur de sécurité du nouvel objet sont définis sur les valeurs que vous spécifiez dans la propriété nTSecurityDescriptor lorsque vous créez l’objet. Si vous ne définissez pas ces valeurs, services de domaine Active Directory utilisez les règles répertoriées dans le tableau suivant pour les définir.

Règle Description
Propriétaire Le propriétaire dans un descripteur de sécurité par défaut est défini sur le SID propriétaire par défaut à partir du jeton principal ou d’emprunt d’identité du processus de création. Pour la plupart des utilisateurs, le SID propriétaire par défaut est le même que le SID qui identifie le compte de l’utilisateur. N’oubliez pas que pour les utilisateurs qui sont membres du groupe administrateurs intégré, le système définit automatiquement le SID propriétaire par défaut dans le jeton d’accès au groupe administrateurs ; par conséquent, les objets créés par un membre du groupe Administrateurs appartiennent généralement au groupe Administrateurs. Pour obtenir ou définir le propriétaire par défaut dans un jeton d’accès, appelez la fonction GetTokenInformation ou SetTokenInformation avec la structure TOKEN_OWNER .
Groupe principal Le groupe principal dans un descripteur de sécurité par défaut est défini sur le groupe principal par défaut à partir du jeton principal ou d’emprunt d’identité du créateur. N’oubliez pas que le groupe principal n’est pas utilisé dans le contexte de services de domaine Active Directory.

 

Pour plus d’informations sur l’héritage ACE, consultez Héritage et délégation d’administration.

Pour plus d’informations sur les descripteurs de sécurité par défaut dans le schéma, consultez Descripteur de sécurité par défaut.

Pour plus d’informations sur les objets classSchema , consultez Schéma Active Directory.