Condividi tramite

Sicurezza delle partizioni della directory dell'applicazione

  • Articolo

Il modello di controllo di sicurezza e accesso per le partizioni di directory dell'applicazione è uguale a quello per altre partizioni in Dominio di Active Directory Services. Gli utenti normali possono accedere agli oggetti in una partizione di directory dell'applicazione soggetti agli ACL posizionati su tali oggetti. Per altre informazioni, vedere Controllo dell'accesso agli oggetti in Dominio di Active Directory Services.

Tuttavia, poiché le partizioni di directory dell'applicazione possono estendersi su più domini di sicurezza in un servizio directory, si pone la questione di come interpretare le costanti di stringhe SID note relative al dominio nella classe defaultSecurityDescriptor della classe dello schema di un oggetto al momento della creazione di oggetti in una partizione di directory dell'applicazione. Ad esempio, se "DA" fa riferimento al gruppo di amministratori di dominio, ma in una partizione di directory dell'applicazione, non è noto quale dominio fa riferimento al gruppo "DA".

Per risolvere questo problema, l'oggetto crossRef di una partizione di directory dell'applicazione ha un attributo msDS-SDReferenceDomain che contiene il nome distinto del dominio di riferimento per la partizione della directory dell'applicazione. Il sistema di sicurezza usa il dominio specificato per interpretare i riferimenti al dominio locale per i descrittori di sicurezza predefiniti associati agli oggetti creati nella partizione della directory dell'applicazione. Il dominio di riferimento può essere specificato quando viene creato l'oggetto crossRef per una partizione di directory dell'applicazione. Ciò richiede, tuttavia, che venga creato un oggetto crossRef per la partizione della directory dell'applicazione. Se non viene specificato alcun dominio di riferimento, il sistema imposta automaticamente il dominio di riferimento in base a una delle condizioni seguenti:

  • Se l'elemento padre dell'oggetto partizione della directory dell'applicazione è un'altra partizione di directory dell'applicazione, per il dominio di riferimento viene usato l'attributo msDS-SDReferenceDomain della partizione della directory dell'applicazione padre.
  • Se l'oggetto padre è un dominio, tale dominio viene usato per il dominio di riferimento.
  • Se non è presente alcun oggetto padre, il dominio radice della foresta viene usato per il dominio di riferimento.

L'attributo crossRef può anche essere modificato nel dominio di riferimento dopo la creazione della partizione, ma questo non è consigliato.

Un problema simile si verifica se un gruppo locale viene specificato in un elenco di controllo di accesso per un oggetto in una partizione di directory dell'applicazione. In questo caso, l'attributo msDS-SDReferenceDomain non può essere usato per interpretare il dominio di riferimento per un gruppo locale. Per evitare questo problema, i gruppi locali non devono essere usati negli ACL degli oggetti di partizione della directory dell'applicazione.