Condividi tramite

Modalità di impostazione dei descrittori di sicurezza nei nuovi oggetti directory

  • Articolo

Quando si crea un nuovo oggetto in Servizi di dominio Active Directory, è possibile creare in modo esplicito un descrittore di sicurezza e quindi impostare tale descrittore di sicurezza come proprietà nTSecurityDescriptor dell'oggetto. Per altre informazioni, vedere Creazione di un descrittore di sicurezza per un nuovo oggetto directory.

Active Directory Domain Services usa le regole seguenti per impostare il DACL nel descrittore di sicurezza del nuovo oggetto:Active Directory Domain Services use the following rules to set the DACL in the new object's security descriptor:

  • Se si specifica in modo esplicito un descrittore di sicurezza quando si crea l'oggetto , il sistema unisce eventuali ACL ereditabili dall'oggetto padre nell'elenco di controllo DACL specificato, a meno che il bit SE_DACL_PROTECTED non sia impostato nei bit di controllo del descrittore di sicurezza.
  • Se non si specifica un descrittore di sicurezza, il sistema costruisce il DACL dell'oggetto unendo gli ACE ereditabili dall'oggetto padre nel DACL predefinito dell'oggetto della classe per la classe dell'oggetto.
  • Se lo schema non dispone di un DACL predefinito, il DACL dell'oggetto è il DACL predefinito dal token primario o di impersonazione del creatore.
  • Se non è specificata, ereditata o predefinita una DACL, il sistema crea l'oggetto senza DACL, consentendo così a tutti l'accesso completo all'oggetto.

Il sistema usa un algoritmo simile per costruire un SACL per un oggetto di servizio di directory.

Il proprietario e il gruppo primario nel descrittore di sicurezza del nuovo oggetto vengono impostati sui valori specificati nel nTSecurityDescriptor proprietà quando si crea l'oggetto. Se questi valori non vengono impostati, Active Directory Domain Services usa le regole elencate nella tabella seguente per impostarle.

Regola Descrizione
Proprietario Il proprietario di un descrittore di sicurezza predefinito è impostato sul SID proprietario predefinito dal token primario o di rappresentazione del processo di creazione. Per la maggior parte degli utenti, il SID del proprietario predefinito corrisponde al SID che identifica l'account dell'utente. Tenere presente che per gli utenti membri del gruppo administrators predefinito, il sistema imposta automaticamente il SID del proprietario predefinito nel token di accesso al gruppo administrators; pertanto, gli oggetti creati da un membro del gruppo administrators sono in genere di proprietà del gruppo administrators. Per ottenere o impostare il proprietario predefinito in un token di accesso, chiamare la funzione GetTokenInformationo la funzione SetTokenInformationcon la struttura TOKEN_OWNER.
Gruppo primario Il gruppo primario in un descrittore di sicurezza predefinito è impostato sul gruppo primario predefinito dal token primario o di impersonazione del creatore. Tenere presente che il gruppo primario non viene usato nel contesto di Servizi di dominio Active Directory.

 

Per altre informazioni sull'ereditarietà ACE, vedere ereditarietà e delega dell'amministrazione .

Per altre informazioni sui descrittori di sicurezza predefiniti nello schema, vedere descrittore di sicurezza predefinito.

Per altre informazioni sugli oggetti classSchema, vedere Schema di Active Directory.