Наследование и делегирование Администратор istration
службы домен Active Directory поддерживают наследование разрешений вниз по дереву объектов, чтобы разрешить выполнение задач администрирования на более высоких уровнях в дереве. Это позволяет администраторам настраивать наследуемые разрешения на объекты, расположенные рядом с корнем, например доменом и подразделениями, и иметь эти разрешения, распределенные для различных объектов в дереве.
Наследование можно задать на основе ACE. В следующей таблице перечислены флаги, которые можно указать в AceFlags для управления наследованием ACE.
Флаг | Description |
---|---|
ADS_ACEFLAG_INHERIT_ACE |
Вызывает наследование ACE вниз в дереве. |
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
Вызывает наследование ACE только на одном уровне в дереве. |
ADS_ACEFLAG_INHERIT_ONLY_ACE |
Приводит к тому, что ACE не учитывается для указанного объекта, наследуется только вниз и действует, где он наследуется. |
Помимо настройки наследования, службы домен Active Directory поддерживают наследование для определенных объектов. Это позволяет наследовать наследуемые элементы управления доступом по дереву, но быть эффективным только для определенного типа объекта. Это крайне полезно для делегирования администрирования. Например, это можно использовать для задания наследуемого объекта ACE в подразделении, которое позволяет группе иметь полный контроль над всеми объектами пользователей в подразделении, но ничего другого. Таким образом, управление пользователями в этом подразделении делегировано пользователям в этой группе.
Делегирование Администратор службы с группами безопасности
Используйте группы безопасности для определения и делегирования административных ролей, связанных с сервером приложений. Например, служба может быть связана с группой MyService Администратор istrator. Пользователи, которые определены как администраторы MyService, будут добавлены в группу myService Администратор istrators. Программа установки для MyService может задать списки управления доступом в каталоге, чтобы разрешить myService Администратор istrators достаточные разрешения для чтения и записи атрибутов, связанных с MyService, или создания объектов, связанных с MyService, например.
Роли в группах безопасности для компьютеров под управлением службы
Используйте группы безопасности для определения набора компьютеров, которым предоставлен доступ к объектам службы в каталоге. Например, служба может быть связана с группой серверов MyService. Все компьютеры под управлением сервера MyService добавляются в группу "Серверы MyService", а затем эту группу можно получить доступ к частям каталога, где серверы MyService должны считывать и записывать данные. Программа установки для MyService может настроить списки управления доступом в каталоге, чтобы разрешить серверам MyService достаточно разрешений для чтения и записи атрибутов, связанных с MyService, или создавать объекты, относящиеся к MyService, например.