Поделиться через

Настройка дескрипторов безопасности в новых объектах каталога

  • Статья

При создании нового объекта в службах домена Active Directory можно явно создать дескриптор безопасности, а затем задать этот дескриптор безопасности в качестве свойства nTSecurityDescriptor параметра объекта. Дополнительные сведения см. в создании дескриптора безопасности для нового объекта каталога.

Доменные службы Active Directory используют следующие правила, чтобы задать DACL в дескрипторе безопасности нового объекта:

  • Если при создании объекта явно указан дескриптор безопасности, система объединяет все наследуемые acEs из родительского объекта в указанный daCL, если SE_DACL_PROTECTED бит не задан в битах элемента управления дескриптора безопасности.
  • Если вы не указали дескриптор безопасности, система создает DACL объекта путем объединения всех наследуемых ACE из родительского объекта с DACL по умолчанию объекта classSchema для класса объекта.
  • Если в схеме нет DACL по умолчанию, то DACL объекта берется по умолчанию из первичного или подставного токена создателя.
  • Если параметр DACL не указан, наследуется или по умолчанию, система создает объект без DACL, что позволяет всем пользователям получить полный доступ к объекту.

Система использует аналогичный алгоритм для создания SACL для объекта службы каталогов.

Владелец и основная группа в дескрипторе безопасности нового объекта задаются значениями, указанными в свойстве nTSecurityDescriptor при создании объекта. Если эти значения не заданы, доменные службы Active Directory используют правила, перечисленные в следующей таблице, чтобы задать их.

Правило Описание
Владелец Владелец в дескрипторе безопасности по умолчанию устанавливается как SID владельца по умолчанию из первичного или олицетворяющего токена создающего процесса. Для большинства пользователей идентификатор владельца по умолчанию совпадает с идентификатором безопасности, который определяет учетную запись пользователя. Помните, что для пользователей, являющихся членами встроенной группы администраторов, система автоматически задает идентификатор владельца по умолчанию в маркере доступа группе администраторов; поэтому объекты, созданные членом группы администраторов, обычно принадлежат группе администраторов. Чтобы получить или задать владельца по умолчанию в маркере доступа, вызовите функцию GetTokenInformation или SetTokenInformation со структурой TOKEN_OWNER.
Основная группа В дескрипторе безопасности по умолчанию основная группа устанавливается как основная группа по умолчанию из первичного или олицетворенного токена создателя. Помните, что основная группа не используется в контексте доменных служб Active Directory.

 

Дополнительные сведения о наследовании ACE см. в разделе Наследование и Делегирование Администрирования.

Дополнительные сведения о дескрипторах безопасности по умолчанию в схеме см. в Диаскриптор безопасности по умолчанию.

Дополнительные сведения о объектах classSchema см. в схеме Active Directory .