管理の継承と委任
Active Directory Domain Servicesは、オブジェクトツリーの下位レベルへのアクセス許可の継承をサポートしているため、管理タスクをツリーの上位レベルで実行できます。 これにより、管理者は、ドメインや組織単位など、ルートに近いオブジェクトに対して継承可能なアクセス許可を設定し、それらのアクセス許可をツリー内のさまざまなオブジェクトに分散させることができます。
継承は、ACEごとに設定できます。 次の表に、ACEの継承を制御するためにAceFlagsで指定できるフラグを示します。
フラグ | 説明 |
---|---|
ADS_ACEFLAG_INHERIT_ACE |
ACEがツリーの下位に継承されるようにします。 |
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
ACEがツリーの下位1レベルのみに継承されるようにします。 |
ADS_ACEFLAG_INHERIT_ONLY_ACE |
指定されたオブジェクトでACEが無視され、下位にのみ継承され、継承された場所で有効になります。 |
継承の設定に加えて、Active Directory Domain Servicesはオブジェクト固有の継承をサポートしています。 これにより、継承可能なACEをツリーの下位に継承できますが、特定の種類のオブジェクトでのみ有効になります。 これは、管理を委任する場合に非常に便利です。 たとえば、これを使用すると、組織単位でオブジェクト固有の継承可能なACEを設定して、グループが組織単位内のすべてのユーザーオブジェクトを完全に制御できるようにすることができます。 これにより、その組織単位内のユーザーの管理は、そのグループ内のユーザーに委任されます。
セキュリティグループを使用したサービス管理の委任
セキュリティグループを使用して、アプリケーションサーバーに関連付けられた管理ロールを定義および委任します。 たとえば、サービスをMyService Administratorsグループに関連付けることができます。 MyService管理者として識別されたユーザーは、MyService Administratorsグループに追加されます。 MyServiceのセットアッププログラムでは、ディレクトリにACLを設定して、MyService管理者がMyService関連の属性の読み取り/書き込みやMyService固有のオブジェクトの作成などを行うための十分なアクセス許可を有効にすることができます。
サービスを実行しているコンピューターのセキュリティグループの役割
セキュリティグループを使用して、ディレクトリ内のサービスのオブジェクトへのアクセスを許可するコンピューターのセットを定義します。 たとえば、サービスをMyServiceサーバーグループに関連付けることができます。 MyServiceサーバーを実行しているすべてのコンピューターがMyServiceサーバーグループに追加され、MyServiceサーバーがデータの読み取り/書き込みを行う必要があるディレクトリの一部へのアクセス権をこのグループに付与できます。 MyServiceのセットアッププログラムでは、ディレクトリにACLを設定して、MyServiceサーバーがMyService関連の属性の読み取り/書き込みやMyService固有のオブジェクトの作成などを行うための十分なアクセス許可を有効にすることができます。