访问控制如何在 Active Directory 域服务中工作
Active Directory 域服务中对象的访问控制基于 Windows NT 和 Windows 2000 访问控制模型。 有关此模型及其组件(如安全描述符、访问令牌、SID、ACL 和 ACE)的详细信息和详细说明,请参阅访问控制模型
Active Directory 域服务中资源的访问权限通常通过访问控制项 (ACE) 授予。 ACE 定义对特定用户或组的对象的访问权限或审核权限。 访问控制列表 (ACL) 是为对象定义的访问控制项的有序集合。 安全描述符支持创建和管理 ACL 的属性和方法。 有关安全模型的详细信息,请参阅安全或 Windows 2000 服务器资源工具包。 (此资源可能在某些语言和国家或地区不可用。)
安全模型的基本大纲是:
- 安全描述符。 每个目录对象都有自己的安全描述符,其中包含保护该对象的安全数据。 安全描述符可以包含任意访问控制列表 (DACL)。 DACL 包含 ACE 的列表。 每个 ACE 向用户或组授予或拒绝一组访问权限。 访问权限对应于可以对对象执行的操作,例如读取和写入属性。
- 安全上下文。 访问目录对象时,应用程序指定进行访问尝试的安全主体的凭据。 经过身份验证后,这些凭据确定应用程序的安全上下文,其中包括与安全主体关联的组成员身份和特权。 有关安全上下文的详细信息,请参阅安全上下文和 Active Directory 域服务。
- 访问检查。 只有当对象的安全描述符向尝试操作的安全主体(或安全主体所属的组)授予必要的访问权限时,系统才会授予对对象的访问权限。
下表列出了用于操作 Active Directory 域服务的访问控制功能的 ADSI 接口。
接口 | 说明 |
---|---|
IADsSecurityDescriptor | 用于读取和写入目录服务对象的安全属性。 |
IADsAccessControlList | 用于管理和枚举目录服务对象的所有 ACE。 |
IADsAccessControlEntry | 用于读取和写入 ACE 属性。 |