次の方法で共有

アクセス制御でのセキュリティ グループの使用方法

  • [アーティクル]

セキュリティ識別子 (SID) は、ユーザーまたはグループがセキュリティ目的で使用される場合の、ユーザーまたはセキュリティ グループのオブジェクト識別子です。 ユーザーまたはグループの名前は、システム内の一意識別子として使用されません。 SID は、ユーザー オブジェクトとセキュリティ グループ オブジェクトの objectSid 属性に格納されます。 Active Directory サーバーは、ユーザーまたはグループの 作成時に objectSid を生成します。 システムは、SID がフォレスト全体で一意であることを保証します。 objectGuid は、ユーザー、グループ、またはその他のディレクトリ オブジェクトの一意の識別子であることに注意してください。 SID は、ユーザーまたはグループが別の do メイン に移動された場合に変更されます。objectGuid はメイン同じです。

プリンターやファイル共有などのリソースにアクセスするためのアクセス許可がユーザーまたはグループに付与されると、ユーザーまたはグループの SID がアクセス制御エントリ (ACE) に追加され、リソースの随意アクセス制御リスト (DACL) で付与されたアクセス許可が定義されます。 Active Directory ドメイン Services では、各オブジェクトには、そのオブジェクトの特定のオブジェクトまたは属性へのアクセスを定義する DACL を格納する nTSecurityDescriptor 属性があります。 Active Directory ドメイン サービスのオブジェクトに対するアクセス制御の設定の詳細については、「Active Directory ドメイン サービスのオブジェクトへのアクセスの制御」を参照してください

ユーザーが Windows 2000 にログオンするとメインオペレーティング システムによってアクセス トークンが生成されます。 このアクセス トークンは、ユーザーがアクセスできるリソースを決定するために使用されます。 ユーザー アクセス トークンには、次のデータが含まれます。

  • ユーザー SID。
  • ユーザーがメンバーになっているすべてのグローバル およびユニバーサル セキュリティ グループの SID。
  • 入れ子になったグローバル セキュリティ グループとユニバーサル セキュリティ グループの SID。

このユーザーに代わって実行されるすべてのプロセスには、このアクセス トークンのコピーがあります。

ユーザーがコンピューター上のリソースにアクセスしようとすると、ユーザーがリソースにアクセスするサービスは、ユーザーログオン時に作成されたアクセス トークンに基づいて新しいアクセス トークンを作成することによって、ユーザーを偽装します。 この新しいアクセス トークンには、次の SID も含まれます。

  • ターゲット内のすべての doメイン ローカル グループの SID はメインユーザーがメンバーになっていることを行います。
  • ユーザーがメンバーになっているターゲット コンピューター上のすべてのコンピューター ローカル グループの SID。

サービスは、この新しいアクセス トークンを使用してリソースへのアクセスを評価します。 アクセス トークン内の SID が DACL 内の任意の ACE に表示される場合、サービスはユーザーにそれらの ACE で指定されたアクセス許可を付与します。