Partilhar via

Segurança de partição de diretório de aplicativos

  • Artigo

O modelo de segurança e controle de acesso para partições de diretório de aplicativos é o mesmo que para outras partições nos Serviços de Domínio Active Directory. Usuários normais podem acessar objetos em uma partição de diretório de aplicativos sujeita às ACLs colocadas nesses objetos. Para obter mais informações, consulte Controlando o acesso a objetos nos Serviços de Domínio Active Directory.

No entanto, como as partições de diretório de aplicativos podem abranger vários domínios de segurança em um serviço de diretório, surge a questão de como interpretar constantes de cadeia de caracteres SID bem conhecidas relativas ao domínio no defaultSecurityDescriptor da classe de esquema de um objeto no momento da criação do objeto em uma partição de diretório de aplicativo. Por exemplo, se "DA" se refere ao grupo de administradores de domínio, mas em uma partição de diretório de aplicativos, não se sabe a qual domínio o grupo "DA" se refere.

Para resolver esse problema, o objeto crossRef de uma partição de diretório de aplicativo tem um atributo msDS-SDReferenceDomain que contém o nome distinto do domínio de referência para essa partição de diretório de aplicativo. O sistema de segurança usa o domínio especificado para interpretar referências de domínio local para descritores de segurança padrão anexados a objetos criados nessa partição de diretório de aplicativos. O domínio de referência pode ser especificado quando o objeto crossRef para uma partição de diretório de aplicativo é criado. Isso requer, no entanto, que um objeto crossRef seja pré-criado para a partição de diretório do aplicativo. Se nenhum domínio de referência for especificado, o sistema definirá automaticamente o domínio de referência com base em uma das seguintes condições:

  • Se o pai do objeto de partição de diretório de aplicativo for outra partição de diretório de aplicativo, o atributo msDS-SDReferenceDomain da partição de diretório de aplicativo pai será usado para o domínio de referência.
  • Se o objeto pai for um domínio, esse domínio será usado para o domínio de referência.
  • Se não houver nenhum objeto pai, o domínio raiz da floresta será usado para o domínio de referência.

O atributo crossRef também pode ser alterado para o domínio de referência depois que a partição é criada, mas isso não é recomendado.

Um problema semelhante surge se um grupo local for especificado em uma ACL para um objeto em uma partição de diretório de aplicativos. Nesse caso, o atributo msDS-SDReferenceDomain não pode ser usado para interpretar o domínio de referência para um grupo local. Para evitar esse problema, grupos locais não devem ser usados nas ACLs de objetos de partição de diretório de aplicativo.