Поделиться через

Использование групп безопасности в контроль доступа

  • Статья

Идентификатор безопасности (SID) — это идентификатор объекта пользователя или группы безопасности, когда пользователь или группа используются в целях безопасности. Имя пользователя или группы не используется в качестве уникального идентификатора в системе. Идентификатор безопасности хранится в атрибуте objectSid объектов пользователей и объектов группы безопасности. Сервер Active Directory создает объектSid при создании пользователя или группы. Система гарантирует, что идентификаторы SID уникальны в лесу. Помните, что objectGuid является уникальным идентификатором пользователя, группы или любого другого объекта каталога. Идентификатор безопасности изменяется, если пользователь или группа перемещаются в другой домен; ОбъектGuid остается неизменным.

Если пользователю или группе предоставлено разрешение на доступ к ресурсу, например принтеру или общей папке, идентификатор безопасности пользователя или группы добавляется в запись управления доступом (ACE), определяющую предоставленное разрешение в списке управления доступом ресурса (DACL). В службах домен Active Directory каждый объект имеет атрибут nTSecurityDescriptor, который хранит DACL, определяющий доступ к конкретному объекту или атрибутам этого объекта. Дополнительные сведения о настройке управления доступом к объектам в службах домен Active Directory см. в разделе "Управление доступом к объектам" в службах домен Active Directory.

Когда пользователь входит в домен Windows 2000, операционная система создает маркер доступа. Этот маркер доступа используется для определения ресурсов, к которым может получить доступ пользователь. Маркер доступа пользователя содержит следующие данные:

  • Идентификатор безопасности пользователя.
  • Идентификаторы всех глобальных и универсальных групп безопасности, в которые входит пользователь.
  • Идентификаторы всех вложенных глобальных и универсальных групп безопасности.

Каждый процесс, выполняемый от имени этого пользователя, имеет копию этого маркера доступа.

Когда пользователь пытается получить доступ к ресурсам на компьютере, служба, с помощью которой пользователь обращается к ресурсу, будет олицетворять пользователя, создав новый маркер доступа на основе маркера доступа, созданного во время входа пользователя. Этот новый маркер доступа также будет содержать следующие идентификаторы SID:

  • ИДЕНТИФИКАТОРы для всех локальных групп домена в целевом домене, в которые входит пользователь.
  • ИДЕНТИФИКАТОРы для всех локальных групп компьютеров на целевом компьютере, в котором пользователь является членом.

Служба использует этот новый маркер доступа для оценки доступа к ресурсу. Если идентификатор безопасности в маркере доступа отображается в любом элементе управления доступом в DACL, служба предоставляет пользователю разрешения, указанные в этих acEs.