Funzionamento del controllo di accesso in Servizi di dominio Active Directory
Il controllo di accesso per gli oggetti in Servizi di dominio Active Directory si basa su modelli di controllo di accesso di Windows NT e Windows 2000. Per altre informazioni e una descrizione dettagliata di questo modello e dei relativi componenti, ad esempio descrittori di sicurezza, token di accesso, SID, ACL e ACL, vedere Access Control Model.
I privilegi di accesso per le risorse in Servizi di dominio Active Directory vengono in genere concessi tramite l'uso di una voce di controllo di accesso (ACE). Un ace definisce un'autorizzazione di accesso o controllo per un oggetto per un utente o un gruppo specifico. Un elenco di controllo di accesso (ACL) è la raccolta ordinata di voci di controllo di accesso definite per un oggetto . Un descrittore di sicurezza supporta proprietà e metodi che creano e gestiscono elenchi di controllo di accesso. Per altre informazioni sui modelli di sicurezza, vedere Security o Windows 2000 Server Resource Kit. Questa risorsa potrebbe non essere disponibile in alcune lingue e paesi o aree geografiche.
La struttura di base del modello di sicurezza è:
- Descrittore di sicurezza. Ogni oggetto directory ha un descrittore di sicurezza specifico che contiene i dati di sicurezza che proteggono l'oggetto. Il descrittore di sicurezza può contenere un elenco di controllo di accesso discrezionale (DACL). Una DACL contiene un elenco di ACEs. Ogni ACE concede o nega un set di diritti di accesso a un utente o a un gruppo. I diritti di accesso corrispondono alle operazioni, ad esempio le proprietà di lettura e scrittura, che possono essere eseguite sull'oggetto .
- Contesto di sicurezza. Quando si accede a un oggetto directory, l'applicazione specifica le credenziali dell'entità di sicurezza che esegue il tentativo di accesso. Quando vengono autenticate, queste credenziali determinano il contesto di sicurezza dell'applicazione, che include le appartenenze ai gruppi e i privilegi associati all'entità di sicurezza. Per altre informazioni sui contesti di sicurezza, vedere Contesti di sicurezza e Servizi di dominio Active Directory.
- Controllo di accesso. Il sistema concede l'accesso a un oggetto solo se il descrittore di sicurezza dell'oggetto concede i diritti di accesso necessari all'entità di sicurezza che tenta l'operazione (o ai gruppi a cui appartiene l'entità di sicurezza).
Nella tabella seguente sono elencate le interfacce ADSI usate per modificare le funzionalità di controllo di accesso di Active Directory Domain Services.
| Interfaccia | Descrizione |
|---|---|
| IADsSecurityDescriptor | Utilizzato per leggere e scrivere le proprietà di sicurezza di un oggetto del servizio di directory. |
| IADsAccessControlList | Consente di gestire ed enumerare tutti gli ACE per un oggetto del servizio di directory. |
| IADsAccessControlEntry | Utilizzato per leggere e scrivere le proprietà ACE. |