Udostępnij za pośrednictwem

Jak deskryptory zabezpieczeń są ustawiane na nowych obiektach katalogu

  • Artykuł

Podczas tworzenia nowego obiektu w usługach Active Directory Domain Services można jawnie utworzyć deskryptor zabezpieczeń, a następnie ustawić ten deskryptor zabezpieczeń jako obiektu nTSecurityDescriptor właściwości. Aby uzyskać więcej informacji, zobacz Tworzenie deskryptora zabezpieczeń dla nowego obiektu katalogu.

Usługi Active Directory Domain Services używają następujących reguł, aby ustawić listę kontroli dostępu (DACL) w deskryptorze zabezpieczeń nowego obiektu.

  • Jeśli jawnie określisz deskryptor zabezpieczeń podczas tworzenia obiektu, system scala wszystkie dziedziczone elementy ACE z obiektu nadrzędnego do określonej listy DACL, chyba że bit SE_DACL_PROTECTED jest ustawiony w bitach kontrolnych deskryptora zabezpieczeń.
  • Jeśli nie określisz deskryptora zabezpieczeń, system skompiluje listę DACL obiektu, scalając wszystkie dziedziczone ACL z obiektu nadrzędnego do domyślnej listy DACL z classSchema obiektu dla klasy obiektu.
  • Jeśli schemat nie ma domyślnej listy DACL, lista DACL obiektu jest domyślną listą DACL z podstawowego lub personifikacyjnego tokenu twórcy.
  • Jeśli nie ma określonej, dziedziczonej lub domyślnej listy DACL, system tworzy obiekt bez listy DACL, co umożliwia wszystkim pełny dostęp do obiektu.

System używa podobnego algorytmu do utworzenia SACL dla obiektu usługi katalogowej.

Właściciel i grupa podstawowa w deskryptorze zabezpieczeń nowego obiektu są ustawione na wartości, które określasz w właściwości nTSecurityDescriptor podczas tworzenia obiektu. Jeśli te wartości nie zostały ustawione, usługi Active Directory Domain Services używają reguł wymienionych w poniższej tabeli, aby je ustawić.

Reguła Opis
Właściciel Właściciel w domyślnym deskryptorze zabezpieczeń jest ustawiony na domyślny identyfikator SID właściciela z podstawowego lub personifikacyjnego tokenu procesu tworzenia. W przypadku większości użytkowników domyślny identyfikator SID właściciela jest taki sam jak identyfikator SID, który identyfikuje konto użytkownika. Należy pamiętać, że w przypadku użytkowników będących członkami wbudowanej grupy administratorów system automatycznie ustawia domyślny identyfikator SID właściciela w tokenie dostępu do grupy administratorów; w związku z tym obiekty utworzone przez członka grupy administratorów są zwykle własnością grupy administratorów. Aby uzyskać lub ustawić domyślnego właściciela w tokenie dostępu, wywołaj funkcję GetTokenInformation lub SetTokenInformation z strukturą TOKEN_OWNER.
Grupa podstawowa Grupa podstawowa w domyślnym deskryptorze zabezpieczeń jest ustawiona na domyślną grupę podstawową z podstawowego lub personifikacyjnego tokenu twórcy. Należy pamiętać, że grupa podstawowa nie jest używana w kontekście usług Domenowych Active Directory.

 

Aby uzyskać więcej informacji na temat dziedziczenia ACE, zobacz Dziedziczenie i delegowanie administracji.

Aby uzyskać więcej informacji na temat domyślnych deskryptorów zabezpieczeń w schemacie, zobacz Domyślny deskryptor zabezpieczeń.

Aby uzyskać więcej informacji na temat obiektów classSchema, zobacz Active Directory Schema.