次の方法で共有

アプリケーション ディレクトリ パーティションのセキュリティ

  • [アーティクル]

アプリケーション ディレクトリ パーティションのセキュリティとアクセス制御モデルは、Active Directory Domain Services内の他のパーティションのセキュリティとアクセス制御モデルと同じです。 通常のユーザーは、アプリケーション ディレクトリ パーティション内のオブジェクトにアクセスでき、それらのオブジェクトに設定された ACL に従います。 詳細については、Active Directory Domain Services内のオブジェクトへのアクセスの制御を参照してください。

ただし、アプリケーション ディレクトリ パーティションはディレクトリ サービス内の複数のセキュリティ ドメインにまたがることができるため、アプリケーション ディレクトリ パーティションでのオブジェクトの作成時に、オブジェクトのスキーマ クラスの defaultSecurityDescriptor にあるドメイン相対の既知の SID 文字列定数を解釈する方法という問題が生じます。 たとえば、"DA" がドメイン管理者グループを参照しているが、アプリケーション ディレクトリ パーティションでは、"DA" グループがどのドメインを参照しているかは不明です。

この問題を解決するために、アプリケーション ディレクトリ パーティションの crossRef オブジェクトには、そのアプリケーション ディレクトリ パーティションの参照ドメインの識別名を含む msDS-SDReferenceDomain 属性があります。 セキュリティ システムは、指定されたドメインを使用して、そのアプリケーション ディレクトリ パーティションに作成されたオブジェクトにアタッチされた既定のセキュリティ記述子のローカル ドメイン参照を解釈します。 参照ドメインは、アプリケーション ディレクトリ パーティションの crossRef オブジェクトの作成時に指定できます。 ただし、これには、アプリケーション ディレクトリ パーティションの crossRef オブジェクトを事前に作成する必要があります。 参照ドメインが指定されていない場合、参照ドメインは以下のいずれかの条件に基づいて自動的に設定されます。

  • アプリケーション ディレクトリ パーティション オブジェクトの親が別のアプリケーション ディレクトリ パーティションである場合は、親アプリケーション ディレクトリ パーティションの msDS-SDReferenceDomain 属性が参照ドメインに使用されます。
  • 親オブジェクトがドメインの場合、そのドメインが参照ドメインに使用されます。
  • 親オブジェクトがない場合は、フォレスト ルート ドメインが参照ドメインに使用されます。

crossRef 属性は、パーティションの作成後に参照ドメインに変更することもできますが、これはお勧めしません。

同様の問題は、ローカル グループがアプリケーション ディレクトリ パーティション内のオブジェクトの ACL で指定されている場合にも発生します。 この場合、msDS-SDReferenceDomain 属性を使用してローカル グループの参照ドメインを解釈することはできません。 この問題を回避するには、アプリケーション ディレクトリ パーティション オブジェクトの ACL でローカル グループを使用しないでください。