Какие разработчики приложений и служб должны знать о группах

При разработке приложения или службы можно использовать группы для делегирования администрирования или управления доступом к приложению или службе в целом или части. Например, приложение может контролировать, кто может выполнять различные административные операции. Для этого создайте acEs, предоставляющие указанные права доступа соответствующим группам. Рекомендуется использовать ACE, предоставляющий доступ к группе, чем иметь несколько acES, которые предоставляют доступ отдельным пользователям или компьютерам.

Рекомендуется, чтобы приложения использовали следующие рекомендации при использовании групп:

• Не создавайте зависимости от жестко закодированных групп, которые могут создавать осложнения при удалении или перемещении группы.
• Избегайте использования встроенных групп, если функция группы не предоставляет конкретные потребности в приложении. Например, не требуется, чтобы пользователь был членом группы Администратор istrators, чтобы предоставить пользователю разрешение на создание учетной записи компьютера. Это дает пользователю разрешения и привилегии, которые могут не потребоваться, что может привести к уязвимости безопасности. Вместо этого необходимо создать новую группу безопасности с определенными разрешениями и добавить пользователя в эту новую группу.
• При создании групп имейте в виду следующие рекомендации:
  • Защитите группу, задав acEs, которые могут добавлять или удалять участников.
  • Используйте глобальные группы, если они используются для управления доступом к объектам в службах домен Active Directory.
  • Используйте универсальные группы только в случае необходимости (данные-члены требуются глобально с помощью глобального каталога; группа может содержать любого пользователя или группы). Если вы используете универсальные группы, поместите глобальные группы в универсальную группу и добавьте или удалите пользователей из глобальной группы. Избегайте чрезмерного изменения универсальных групп для повышения эффективности реплика.
• Не используйте членство в группах для управления доступом. Вместо этого используйте ACE и управляйте доступом, используя систему проверка доступа.

Чтобы управлять доступом к операциям, которые не соответствуют предопределенным правам доступа для объектов в службах домен Active Directory, используйте функцию управления правами доступа в Windows 2000. Дополнительные сведения см. в ADS_RIGHTS_ENUM.

Использование права управления доступом для управления правом на выполнение операции

1. Создайте право управления доступом, определяющее тип доступа к приложению или службе. Дополнительные сведения см. в разделе "Управление правами доступа".
2. Создайте объект в службах домен Active Directory, представляющих приложение, службу или ресурс.
3. Добавьте объекты ACEs в DACL в дескриптор безопасности объекта, чтобы предоставить или запретить пользователям или группам права управления доступом к этому объекту. Дополнительные сведения см. в разделе "Настройка прав доступа к объекту".
4. Когда пользователь пытается выполнить защищенную операцию, приложение или служба использует функцию AccessCheckByTypeResultList , чтобы определить, предоставляется ли пользователю право доступа на управление. Дополнительные сведения см. в статье "Проверка прав доступа к элементу управления доступом" в ACL объекта.
5. В зависимости от результата проверка доступа к объекту приложение или служба может предоставить или запретить пользователю доступ к приложению или службе.

Приложение-служба также может создать группу, члены которой будут различными экземплярами службы. Например, служба с экземплярами, установленными на нескольких компьютерах на предприятии, может иметь общий файл журнала, в который записываются все экземпляры службы. Программа установки службы создает файл журнала и использует DACL для предоставления доступа только членам группы. Члены группы будут учетными записями пользователей, в которых выполняются различные экземпляры служб или если службы выполняются под учетной записью LocalSystem, члены будут учетными записями компьютеров серверов узлов.