Compartilhar via


Como os descritores de segurança são definidos em novos objetos de diretório

Ao criar um novo objeto nos Serviços de Domínio Active Directory, você pode criar explicitamente um descritor de segurança e, em seguida, definir esse descritor de segurança como a propriedade nTSecurityDescriptor do objeto. Para obter mais informações, consulte Criando um descritor de segurança para um novo objeto de diretório.

Os Serviços de Domínio Active Directory usam as seguintes regras para definir a DACL no descritor de segurança do novo objeto:

  • Se você especificar explicitamente um descritor de segurança ao criar o objeto, o sistema mesclará todas as ACEs herdáveis do objeto pai na DACL especificada, a menos que o bit SE_DACL_PROTECTED esteja definido nos bits de controle do descritor de segurança.
  • Se você não especificar um descritor de segurança, o sistema criará a DACL do objeto mesclando quaisquer ACEs herdáveis do objeto pai na DACL padrão do objeto classSchema para a classe do objeto.
  • Se o esquema não tiver uma DACL padrão, a DACL do objeto será a DACL padrão do token primário ou de representação do criador.
  • Se não houver nenhuma DACL especificada, herdada ou padrão, o sistema criará o objeto sem DACL, o que permitirá que todos tenham acesso total ao objeto.

O sistema usa um algoritmo semelhante para criar uma SACL para um objeto de serviço de diretório.

O proprietário e o grupo primário no descritor de segurança do novo objeto são definidos com os valores especificados na propriedade nTSecurityDescriptor ao criar o objeto. Se você não definir esses valores, os Serviços de Domínio Active Directory usarão as regras listadas na tabela a seguir para defini-las.

Regra Descrição
Proprietário O proprietário em um descritor de segurança padrão é definido como o SID de proprietário padrão a partir do token primário ou de representação do processo de criação. Para a maioria dos usuários, o SID de proprietário padrão é o mesmo que o SID que identifica a conta do usuário. Lembre-se de que, para usuários que são membros do grupo de administradores internos, o sistema define automaticamente o SID de proprietário padrão no token de acesso para o grupo de administradores; Portanto, os objetos criados por um membro do grupo Administradores geralmente pertencem ao grupo Administradores. Para obter ou definir o proprietário padrão em um token de acesso, chame a função GetTokenInformation ou SetTokenInformation com a estrutura TOKEN_OWNER.
Grupo Primário O grupo primário em um descritor de segurança padrão é definido como o grupo primário padrão do token primário ou de representação do criador. Lembre-se de que o grupo primário não é usado no contexto dos Serviços de Domínio Active Directory.

 

Para obter mais informações sobre herança ACE, consulte Herança e delegação de administração.

Para obter mais informações sobre os descritores de segurança padrão no esquema, consulte Descritor de segurança padrão.

Para obter mais informações sobre objetos classSchema , consulte Esquema do Active Directory.