Поделиться через

Безопасность секционирования каталогов приложений

  • Статья

Модель управления безопасностью и доступом для секций каталогов приложений совпадает с моделью управления безопасностью и доступом для других разделов в службах домен Active Directory. Обычные пользователи могут получать доступ к объектам в секции каталога приложений, на которых размещаются списки управления доступом. Дополнительные сведения см. в разделе "Управление доступом к объектам" в службах домен Active Directory.

Тем не менее, так как секции каталогов приложений могут охватывать несколько доменов безопасности в службе каталогов, возникает вопрос о том, как интерпретировать константы строки идентификатора безопасности относительно домена в классе схемы объекта по умолчанию в момент создания объекта в разделе каталога приложения. Например, если "DA" ссылается на группу администраторов домена, но в разделе каталога приложений не известно, к какой домену относится группа DA.

Для решения этой проблемы объект crossRef секции каталога приложения имеет атрибут msDS-SDReferenceDomain, содержащий различающееся имя эталонного домена для этого раздела каталога приложения. Система безопасности использует указанный домен для интерпретации ссылок на локальные домены для дескрипторов безопасности по умолчанию, подключенных к объектам, созданным в этом разделе каталога приложения. Эталонный домен можно указать при создании объекта crossRef для секции каталога приложений. Однако это требует предварительного создания объекта crossRef для раздела каталога приложения. Если эталонный домен не указан, система автоматически задает эталонный домен на основе одного из следующих условий:

  • Если родительский объект секции каталога приложения является другим разделом каталога приложения, атрибут msDS-SDReferenceDomain родительского раздела каталога приложений используется для эталонного домена.
  • Если родительский объект является доменом, этот домен используется для эталонного домена.
  • Если родительский объект отсутствует, корневой домен леса используется для эталонного домена.

Атрибут crossRef также можно изменить на эталонный домен после создания секции, но это не рекомендуется.

Аналогичная проблема возникает, если локальная группа указана в ACL для объекта в разделе каталога приложений. В этом случае атрибут msDS-SDReferenceDomain нельзя использовать для интерпретации эталонного домена для локальной группы. Чтобы избежать этой проблемы, локальные группы не должны использоваться в списках управления доступом к объектам секционирования каталогов приложений.