继承和委派管理
Active Directory 域服务支持从对象树向下继承权限,以允许在树的更高级别执行管理任务。 这使管理员能够对根附近的对象(如域和组织单位)设置可继承权限,并将这些权限分配给树中的各个对象。
可以在每个 ACE 的基础上设置继承。 下表列出了可以在 AceFlags 中指定的标志,以控制 ACE 的继承。
标记 | 说明 |
---|---|
ADS_ACEFLAG_INHERIT_ACE |
使 ACE 在树中向下继承。 |
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
使 ACE 在树中仅向下继承一个级别。 |
ADS_ACEFLAG_INHERIT_ONLY_ACE |
使 ACE 在其指定的对象上被忽略,只向下继承,并在继承时有效。 |
除了设置继承之外,Active Directory 域服务还支持特定于对象的继承。 这允许可继承的 ACE 沿树向下继承,但仅对特定类型的对象有效。 这对于委派管理非常有用。 例如,这可用于在组织单位设置特定于对象的可继承 ACE,使组能够完全控制组织单位中的所有用户对象,但不能控制其他对象。 从而,该组织单元中用户的管理被委托给该组中的用户。
使用安全组委派服务管理
使用安全组可以定义和委派与应用程序服务器关联的管理角色。 例如,服务可以与一个组 MyService Administrators 关联。 标识为 MyService 管理员的用户将被添加到 MyService Administrators 组。 MyService 的安装程序可以在目录上设置 ACL,以使 MyService Administrators 有足够的权限读取/写入与 MyService 相关的属性或创建特定于 MyService 的对象。
运行服务的计算机的安全组中的角色
使用安全组定义被授予访问目录中服务对象权限的计算机集。 例如,服务可以与一个组 MyService Servers 关联。 运行 MyService 服务器的所有计算机都将添加到 MyService Servers 组,然后,可以将此组授予对 MyService 服务器需要读取/写入数据的目录部分的访问权限。 MyService 的安装程序可以在目录上设置 ACL,以使 MyService Servers 有足够的权限读取/写入与 MyService 相关的属性或创建特定于 MyService 的对象。