Modalità di impostazione dei descrittori di sicurezza nei nuovi oggetti directory
Quando si crea un nuovo oggetto in Dominio di Active Directory Services, è possibile creare in modo esplicito un descrittore di sicurezza e quindi impostare tale descrittore di sicurezza come proprietà nTSecurityDescriptor dell'oggetto. Per altre informazioni, vedere Creazione di un descrittore di sicurezza per un nuovo oggetto directory.
Dominio di Active Directory Services usare le regole seguenti per impostare il DACL nel descrittore di sicurezza del nuovo oggetto:Dominio di Active Directory Services use the following rules to set the DACL in the new object's security descriptor:
- Se si specifica in modo esplicito un descrittore di sicurezza quando si crea l'oggetto , il sistema unisce gli ACL ereditabili dall'oggetto padre nell'elenco di controllo DACL specificato, a meno che il bit di edizione Standard_DACL_PROTECTED non sia impostato nei bit di controllo del descrittore di sicurezza.
- Se non si specifica un descrittore di sicurezza, il sistema compila il DACL dell'oggetto unendo eventuali ACL ereditabili dall'oggetto padre nell'elenco DACL predefinito dall'oggetto classSchema per la classe dell'oggetto.
- Se lo schema non dispone di un DACL predefinito, l'elenco DACL dell'oggetto è l'elenco DACL predefinito dal token di rappresentazione o primario dell'autore.
- Se non è specificato, ereditato o predefinito DACL, il sistema crea l'oggetto senza DACL, che consente a tutti l'accesso completo all'oggetto.
Il sistema usa un algoritmo simile per compilare un sacl per un oggetto servizio directory.
Il proprietario e il gruppo primario nel descrittore di sicurezza del nuovo oggetto vengono impostati sui valori specificati nella proprietà nTSecurityDescriptor quando si crea l'oggetto. Se questi valori non vengono impostati, Dominio di Active Directory Services usano le regole elencate nella tabella seguente per impostarle.
Regola | Descrizione |
---|---|
Proprietario | Il proprietario in un descrittore di sicurezza predefinito è impostato sul SID proprietario predefinito dal token di rappresentazione o primario del processo di creazione. Per la maggior parte degli utenti, il SID del proprietario predefinito corrisponde al SID che identifica l'account dell'utente. Tenere presente che per gli utenti membri del gruppo administrators predefinito, il sistema imposta automaticamente il SID del proprietario predefinito nel token di accesso al gruppo administrators; pertanto, gli oggetti creati da un membro del gruppo administrators sono in genere di proprietà del gruppo administrators. Per ottenere o impostare il proprietario predefinito in un token di accesso, chiamare la funzione GetTokenInformation o SetTokenInformation con la struttura TOKEN_OWNER. |
Gruppo primario | Il gruppo primario in un descrittore di sicurezza predefinito è impostato sul gruppo primario predefinito dal token di rappresentazione o primario dell'autore. Tenere presente che il gruppo primario non viene usato nel contesto di Dominio di Active Directory Services. |
Per altre informazioni sull'ereditarietà ACE, vedere Ereditarietà e delega di Amministrazione istration.
Per altre informazioni sui descrittori di sicurezza predefiniti nello schema, vedere Descrittore di sicurezza predefinito.
Per altre informazioni sugli oggetti classSchema , vedere Schema di Active Directory.