Herança e Delegação da Administração
Os Serviços de Domínio Active Directory oferecem suporte à herança de permissões na árvore de objetos para permitir que as tarefas de administração sejam executadas em níveis mais altos na árvore. Isso permite que os administradores configurem permissões herdáveis em objetos próximos à raiz, como unidades de domínio e organizacionais, e tenham essas permissões distribuídas para vários objetos na árvore.
A herança pode ser definida por ACE. A tabela a seguir lista sinalizadores que podem ser especificados no AceFlags para controlar a herança da ACE.
Sinalizador | Descrição |
---|---|
ADS_ACEFLAG_INHERIT_ACE |
Faz com que a ACE seja herdada na árvore. |
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
Faz com que a ACE seja herdada apenas um nível na árvore. |
ADS_ACEFLAG_INHERIT_ONLY_ACE |
Faz com que a ACE seja ignorada no objeto em que está especificada, seja herdada apenas e seja efetiva onde foi herdada. |
Além de definir a herança, os Serviços de Domínio Active Directory oferecem suporte à herança específica do objeto. Isso permite que as ACEs herdáveis sejam herdadas na árvore, mas sejam efetivas apenas em um tipo específico de objeto. Isso é extremamente útil para delegar a administração. Por exemplo, isso pode ser usado para definir uma ACE hereditária específica de objeto em uma unidade organizacional que permite que um grupo tenha controle total sobre todos os objetos de usuário na unidade organizacional, mas nada mais. Dessa forma, o gerenciamento de usuários nessa unidade organizacional é delegado aos usuários desse grupo.
Delegando a administração do serviço com grupos de segurança
Use Grupos de segurança para definir e delegar funções administrativas associadas ao servidor de aplicativos. Por exemplo, seu serviço pode estar associado a um grupo MyService Administrators. Os usuários identificados como administradores de MyService serão adicionados ao grupo MyService Administrators. O programa de instalação para MyService pode definir ACLs no diretório para habilitar MyService Administrators permissões suficientes para ler/gravar atributos relacionados a MyService ou criar objetos específicos de MyService, por exemplo.
Funções em grupos de segurança para computadores que executam o serviço
Use grupos de segurança para definir o conjunto de computadores que recebem acesso aos objetos do serviço no diretório. Por exemplo, seu serviço pode estar associado a um grupo MyService Servers. Todos os computadores que executam o servidor MyService são adicionados ao grupo MyService Servers e esse grupo pode então ter acesso a partes do diretório onde os servidores MyService precisam ler/gravar dados. O programa de instalação para MyService pode definir ACLs no diretório para habilitar MyService Servers permissões suficientes para ler/gravar atributos relacionados a MyService ou criar objetos específicos de MyService, por exemplo.