Dela via

Så här konfigureras säkerhetsbeskrivningar för nya katalogobjekt

  • Artikel

När du skapar ett nytt objekt i Active Directory Domain Services kan du uttryckligen skapa en säkerhetsbeskrivning och sedan ange säkerhetsbeskrivningen som objektets nTSecurityDescriptor egenskap. Mer information finns i Skapa en säkerhetsbeskrivning för ett nytt katalogobjekt.

Active Directory Domain Services använder följande regler för att ange DACL i det nya objektets säkerhetsbeskrivning:

  • Om du uttryckligen anger en säkerhetsbeskrivning när du skapar objektet sammanfogar systemet alla ärvbara ACL:er från det överordnade objektet till den angivna DACL:en om inte den SE_DACL_PROTECTED biten anges i säkerhetsbeskrivningens kontrollbitar.
  • Om du inte anger någon säkerhetsbeskrivning skapar systemet objektets DACL genom att slå samman alla ärvbara ACL:er från det överordnade objektet till standard-DACL från classSchema-objektet för objektets klass.
  • Om schemat inte har någon standard-DACL är objektets DACL standard-DACL från skaparens primära token eller personifieringstoken.
  • Om det inte finns någon angiven, ärvd eller standard-DACL skapar systemet objektet utan DACL, vilket ger alla fullständig åtkomst till objektet.

Systemet använder en liknande algoritm för att skapa en SACL för ett katalogtjänstobjekt.

Ägaren och den primära gruppen i det nya objektets säkerhetsbeskrivning anges till de värden som du anger i egenskapen nTSecurityDescriptor när du skapar objektet. Om du inte anger dessa värden använder Active Directory Domain Services reglerna som anges i följande tabell för att ange dem.

Regel Beskrivning
Ägare Ägaren i en standardsäkerhetsbeskrivning är inställd på standardägarens SID från den primära tokenen eller imiteringstokenen för skapandeprocessen. För de flesta användare är standardägar-SID detsamma som det SID som identifierar användarens konto. Tänk på att för användare som är medlemmar i den inbyggda administratörsgruppen anger systemet automatiskt standardägar-SID i åtkomsttoken till gruppen administratörer. Därför ägs objekt som skapats av en medlem i gruppen Administratörer vanligtvis av administratörsgruppen. Om du vill hämta eller ange standardägaren i en åtkomsttoken anropar du funktionen GetTokenInformation eller SetTokenInformation med TOKEN_OWNER-strukturen.
Primär grupp Den primära gruppen i en standardsäkerhetsbeskrivning är inställd på den primära standardgruppen från skaparens primära token eller personifieringstoken. Tänk på att den primära gruppen inte används i samband med Active Directory Domain Services.

 

Mer information om ACE-arv finns i arv och delegering av administration.

Mer information om standardsäkerhetsbeskrivningarna i schemat finns i Standardsäkerhetsbeskrivning.

Mer information om classSchema-objekt finns i Active Directory Schema.