Compartilhar via

Como os grupos de segurança são usados no controle de acesso

  • Artigo

O identificador de segurança (SID) é o identificador de objeto do usuário ou grupo de segurança quando o usuário ou grupo é usado para fins de segurança. O nome do usuário ou grupo não é usado como identificador exclusivo dentro do sistema. O SID é armazenado no atributo objectSid de objetos de usuário e objetos de grupo de segurança. O servidor do Active Directory gera o objectSid quando o usuário ou grupo é criado. O sistema garante que os SIDs sejam exclusivos em uma floresta. Lembre-se de que o objectGuid é o identificador exclusivo de um usuário, grupo ou qualquer outro objeto de diretório. O SID será alterado se um usuário ou grupo for movido para outro domínio; o objectGuid permanece o mesmo.

Quando um usuário ou grupo recebe permissão para acessar um recurso, como uma impressora ou um compartilhamento de arquivos, o SID do usuário ou grupo é adicionado à entrada de controle de acesso (ACE) que define a permissão concedida na lista de controle de acesso discricionário (DACL) do recurso. Nos Serviços de Domínio Active Directory, cada objeto tem um atributo nTSecurityDescriptor que armazena uma DACL que define o acesso a esse objeto ou atributos específicos nesse objeto. Para obter mais informações sobre como definir o controle de acesso em objetos nos Serviços de Domínio Active Directory, consulte Controlando o acesso a objetos nos Serviços de Domínio Active Directory.

Quando um usuário faz logon em um domínio do Windows 2000, o sistema operacional gera um token de acesso. Esse token de acesso é usado para determinar quais recursos o usuário pode acessar. O token de acesso do usuário inclui os seguintes dados:

  • SID do usuário.
  • SIDs de todos os grupos de segurança globais e universais dos quais o usuário é membro.
  • SIDs de todos os grupos de segurança globais e universais aninhados.

Todo processo executado em nome desse usuário tem uma cópia desse token de acesso.

Quando o usuário tenta acessar recursos em um computador, o serviço por meio do qual o usuário acessa o recurso representará o usuário criando um novo token de acesso com base no token de acesso criado no momento do logon do usuário. Esse novo token de acesso também conterá os seguintes SIDs:

  • SIDs para todos os grupos locais de domínio no domínio de destino do qual o usuário é membro.
  • SIDs para todos os grupos locais de máquina no computador de destino do qual o usuário é membro.

O serviço usa esse novo token de acesso para avaliar o acesso ao recurso. Se um SID no token de acesso aparecer em qualquer ACEs na DACL, o serviço fornecerá ao usuário as permissões especificadas nessas ACEs.