Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Все объекты в доменных службах Active Directory поддерживают стандартный набор прав доступа, определенных в перечислении ADS_RIGHTS_ENUM. Эти права доступа можно использовать в записи управления доступом (ACEs) дескриптора безопасности объекта для управления доступом к объекту; То есть для управления тем, кто может выполнять стандартные операции, например создание и удаление дочерних объектов, а также чтение и запись атрибутов объекта. Однако для некоторых классов объектов может потребоваться управлять доступом таким образом, чтобы они не поддерживали стандартные права доступа. Чтобы упростить это, доменные службы Active Directory позволяют расширить стандартный механизм управления доступом через объект controlAccessRight.
Управление правами доступа используется тремя способами:
Для расширенных прав, которые являются специальными операциями, не охватываемыми стандартным набором прав доступа. Например, класс пользователя может быть предоставлен право "Отправить как", которое может использоваться Exchange, Outlook или любым другим почтовым приложением, чтобы определить, может ли конкретный пользователь отправлять почту от имени другого пользователя. Расширенные права создаются на объектах controlAccessRight путем задания атрибута validAccesses равным ADS_RIGHT_DS_CONTROL_ACCESS (256).
Чтобы определить наборы свойств, чтобы обеспечить контроль доступа к подмножествам атрибутов объекта, а не только к отдельным атрибутам. Используя стандартные права доступа, один ACE может предоставлять или запрещать доступ ко всем атрибутам объекта или к одному атрибуту. Управление правами доступа позволяет одному ACE управлять доступом к набору атрибутов. Например, класс пользователя поддерживает набор свойств Personal-Information, включающий такие атрибуты, как адрес улицы и номер телефона. Права набора свойств создаются на объектах controlAccessRight путем задания атрибута validAccesses, содержащего ACTR_DS_READ_PROP (16) и права доступа ACTRL_DS_WRITE_PROP (32).
Для проверенных операций записи требуется, чтобы система выполняла проверку значений или проверку, помимо того, что требуется схемой, перед записью значения в атрибут объекта DS. Это гарантирует, что введенное для атрибута значение соответствует требуемой семантике, находится в пределах юридического диапазона значений или проходит некоторые другие специальные проверки, которые не будут выполняться для простой низкоуровневой записи в атрибут. Проверенная запись связана со специальным разрешением, отличным от разрешения "Запись <атрибута>", которое позволит записывать любое значение в атрибут без проверки значений. Проверенная запись является единственным из трех прав управления доступом, которые нельзя создать в качестве нового права управления доступом для приложения. Это связано с тем, что существующая система не может быть программно изменена для принудительной проверки. Если право управления доступом было настроено в системе как проверенная запись, то атрибут validAccesses для объектов controlAccessRight будет содержать право доступа ADS_RIGHT_DS_SELF (8).
В схеме Active Directory Windows 2000 определены только три проверенных записи:
- Self-Membership разрешение на объект Группы, позволяющее вызывающей учетной записи, но ни другая учетная запись не была добавлена или удалена из членства в группе.
- Проверка разрешения DNS-Host-Name на объекте компьютера, что позволяет задать атрибут имени узла DNS, соответствующий заданному имени компьютера и доменного имени.
- Validated-SPN разрешение на объект Computer, который позволяет задать атрибут субъекта-службы, соответствующий dns-имени узла компьютера.
Для удобства каждый элемент управления доступом представлен объектом controlAccessRight в контейнере Extended-Rights секции конфигурации, даже если наборы свойств и проверенные записи не считаются расширенными правами. Так как контейнер конфигурации реплицируется по всему лесу, права управления распространяются по всем доменам в лесу. Существует ряд предопределенных прав управления доступом, и, конечно, можно также определить пользовательские права доступа.
Все права управления доступом можно просмотреть как разрешения в редакторе ACL.
Дополнительные сведения и пример кода C++ и Visual Basic, который задает ACE для управления доступом на чтение и запись к набору свойств, см. в разделе Пример кода для задания ACE в объекте каталога.
Дополнительные сведения об использовании прав доступа для управления доступом к специальным операциям см. в следующей статье:
- создание управления доступом
- задание управления доступом справа ACE в ACL объекта
- проверка прав доступа элемента управления в ACL объекта
- чтение набора прав доступа управления в ACL объекта