Поделиться через

Безопасность секционирования каталогов приложений

  • Статья

Модель управления безопасностью и доступом для секций каталогов приложений совпадает с моделью управления безопасностью и доступом для других секций в доменных службах Active Directory. Обычные пользователи могут получать доступ к объектам в секции каталога приложений, на которых размещаются списки управления доступом. Дополнительные сведения см. в управлении доступом к объектам в доменных службах Active Directory.

Тем не менее, поскольку секции каталогов приложений могут охватывать несколько доменов безопасности в службе каталогов, возникает вопрос о том, как интерпретировать хорошо известные строковые строки безопасности домена в defaultSecurityDescriptor класса схемы объекта во время создания объекта в секции каталога приложения. Например, если "DA" ссылается на группу администраторов домена, но в разделе каталога приложений не известно, к какой домену относится группа DA.

Для решения этой проблемы объект crossRef секции каталога приложений имеет атрибут msDS-SDReferenceDomain, содержащий различающееся имя эталонного домена для этого раздела каталога приложения. Система безопасности использует указанный домен для интерпретации ссылок на локальные домены для дескрипторов безопасности по умолчанию, подключенных к объектам, созданным в этом разделе каталога приложения. Эталонный домен можно указать при создании объекта crossRef для секции каталога приложений. Однако это требует предварительного создания объекта crossRef для секции каталога приложений. Если эталонный домен не указан, система автоматически задает эталонный домен на основе одного из следующих условий:

  • Если родительский объект секции каталога приложения является другим разделом каталога приложения, для эталонного домена используется атрибут msDS-SDReferenceDomain родительского раздела каталога приложений.
  • Если родительский объект является доменом, этот домен используется для эталонного домена.
  • Если родительский объект отсутствует, корневой домен леса используется для эталонного домена.

Атрибут crossRef также можно изменить на эталонный домен после создания секции, но это не рекомендуется.

Аналогичная проблема возникает, если локальная группа указана в ACL для объекта в разделе каталога приложений. В этом случае атрибут msDS-SDReferenceDomain нельзя использовать для интерпретации эталонного домена для локальной группы. Чтобы избежать этой проблемы, локальные группы не должны использоваться в списках управления доступом к объектам секционирования каталогов приложений.