Arv och delegering av administration
Active Directory Domain Services stöder arv av behörigheter i objektträdet så att administrationsuppgifter kan utföras på högre nivåer i trädet. På så sätt kan administratörer konfigurera ärvbara behörigheter för objekt nära roten, till exempel domän- och organisationsenheter, och ha dessa behörigheter distribuerade till olika objekt i trädet.
Arv kan anges per ACE-basis. I följande tabell visas flaggor som kan anges i AceFlags för att kontrollera arv av ACE.
Flagga | Beskrivning |
---|---|
ADS_ACEFLAG_INHERIT_ACE |
Gör att ACE ärvs i trädet. |
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
Gör att ACE bara ärvs ned en nivå i trädet. |
ADS_ACEFLAG_INHERIT_ONLY_ACE |
Gör att ACE ignoreras för det objekt som det anges på, bara ärvs och ärvs effektivt där det har ärvts. |
Förutom att ställa in arv stöder Active Directory Domain Services objektspecifikt arv. Detta gör att de ärvbara ACL:erna kan ärvas ned i trädet, men endast gälla för en viss typ av objekt. Detta är mycket användbart vid delegering av administration. Detta kan till exempel användas för att ange ett objektspecifikt ärverbart ACE på en organisationsenhet som gör att en grupp kan ha fullständig kontroll över alla användarobjekt i organisationsenheten, men inget annat. Därmed delegeras hanteringen av användare i den organisationsenheten till användarna i den gruppen.
Delegera tjänstadministration med säkerhetsgrupper
Använd Säkerhetsgrupper för att definiera och delegera administrativa roller som är associerade med programservern. Din tjänst kan till exempel vara associerad med en grupp MyService-administratörer. Användare som identifieras som MyService-administratörer läggs till i gruppen MyService-administratörer. Installationsprogrammet för MyService kan ange ACL:er i katalogen för att ge MyService-administratörer tillräckliga behörigheter för att läsa/skriva MyService-relaterade attribut eller skapa MyService-specifika objekt till exempel.
Roller i säkerhetsgrupper för datorer som kör tjänsten
Använd säkerhetsgrupper för att definiera den uppsättning datorer som beviljas åtkomst till tjänstens objekt i katalogen. Din tjänst kan till exempel vara associerad med en grupp myservice-servrar. Alla datorer som kör MyService-servern läggs till i gruppen MyService-servrar och den här gruppen kan sedan ges åtkomst till delar av katalogen där MyService-servrar behöver läsa/skriva data. Installationsprogrammet för MyService kan ange ACL:er i katalogen för att ge MyService-servrar tillräcklig behörighet för att läsa/skriva MyService-relaterade attribut eller skapa MyService-specifika objekt, till exempel.