Utilisation des groupes de sécurité dans Access Control
L’identificateur de sécurité (SID) est l’identificateur d’objet de l’utilisateur ou du groupe de sécurité lorsque l’utilisateur ou le groupe est utilisé à des fins de sécurité. Le nom de l’utilisateur ou du groupe n’est pas utilisé comme identificateur unique dans le système. Le SID est stocké dans l’attribut objectSid des objets utilisateur et des objets de groupe de sécurité. Le serveur Active Directory génère l’objectSid lors de la création de l’utilisateur ou du groupe. Le système garantit que les SID sont uniques dans une forêt. N’oubliez pas que l’objetGuid est l’identificateur unique d’un utilisateur, d’un groupe ou de tout autre objet d’annuaire. Le SID change si un utilisateur ou un groupe est déplacé vers un autre domaine ; l’objetGuid reste le même.
Lorsqu’un utilisateur ou un groupe est autorisé à accéder à une ressource, telle qu’une imprimante ou un partage de fichiers, le SID de l’utilisateur ou du groupe est ajouté à l’entrée de contrôle d’accès (ACE) définissant l’autorisation accordée dans la liste de contrôle d’accès discrétionnaire (DACL) de la ressource. Dans services de domaine Active Directory, chaque objet a un attribut nTSecurityDescriptor qui stocke un DACL définissant l’accès à cet objet particulier ou à ces attributs sur cet objet. Pour plus d’informations sur la définition du contrôle d’accès sur les objets dans services de domaine Active Directory, consultez Contrôle de l’accès aux objets dans services de domaine Active Directory.
Lorsqu’un utilisateur se connecte à un domaine Windows 2000, le système d’exploitation génère un jeton d’accès. Ce jeton d’accès est utilisé pour déterminer les ressources auxquelles l’utilisateur peut accéder. Le jeton d’accès utilisateur inclut les données suivantes :
- SID utilisateur.
- SID de tous les groupes de sécurité globaux et universels dont l’utilisateur est membre.
- SID de tous les groupes de sécurité globaux et universels imbriqués.
Chaque processus exécuté pour le compte de cet utilisateur dispose d’une copie de ce jeton d’accès.
Lorsque l’utilisateur tente d’accéder aux ressources d’un ordinateur, le service via lequel l’utilisateur accède à la ressource emprunte l’identité de l’utilisateur en créant un jeton d’accès basé sur le jeton d’accès créé au moment de l’ouverture de session de l’utilisateur. Ce nouveau jeton d’accès contiendra également les SID suivants :
- SID pour tous les groupes locaux de domaine dans le domaine cible dont l’utilisateur est membre.
- SID pour tous les groupes locaux d’ordinateur sur l’ordinateur cible dont l’utilisateur est membre.
Le service utilise ce nouveau jeton d’accès pour évaluer l’accès à la ressource. Si un SID dans le jeton d’accès apparaît dans les ACA de la liste de contrôle d’accès, le service accorde à l’utilisateur les autorisations spécifiées dans ces ACL.