Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Доменные службы Active Directory поддерживают наследование разрешений по дереву объектов, чтобы разрешить выполнение задач администрирования на более высоких уровнях в дереве. Это позволяет администраторам настраивать наследуемые разрешения на объекты, расположенные рядом с корнем, например доменом и подразделениями, и иметь эти разрешения, распределенные для различных объектов в дереве.
Наследование можно задать на основе ACE. В следующей таблице перечислены флаги, которые можно указать в AceFlags для управления наследованием ACE.
| Флаг | Описание |
|---|---|
|
ADS_ACEFLAG_INHERIT_ACE |
Вызывает наследование ACE вниз в дереве. |
|
ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
Вызывает наследование ACE только на одном уровне в дереве. |
|
ADS_ACEFLAG_INHERIT_ONLY_ACE |
Приводит к тому, что ACE не учитывается для указанного объекта, наследуется только вниз и действует, где он наследуется. |
Помимо настройки наследования доменные службы Active Directory поддерживают наследование для определенных объектов. Это позволяет наследовать наследуемые элементы управления доступом по дереву, но быть эффективным только для определенного типа объекта. Это крайне полезно для делегирования администрирования. Например, это можно использовать для задания наследуемого объекта ACE в подразделении, которое позволяет группе иметь полный контроль над всеми объектами пользователей в подразделении, но ничего другого. Таким образом, управление пользователями в этом подразделении делегировано пользователям в этой группе.
Делегирование администрирования службы с группами безопасности
Используйте группы безопасности для определения и делегирования административных ролей, связанных с сервером приложений. Например, служба может быть связана с группами администраторов MyService. Пользователи, которые идентифицируются как администраторы MyService, будут добавлены в группу "Администраторы MyService". Программа установки для MyService может задать списки управления доступом в каталоге, чтобы разрешить администраторам MyService достаточные разрешения для чтения и записи атрибутов, связанных с MyService, или создавать объекты, относящиеся к MyService, например.
Роли в группах безопасности для компьютеров под управлением службы
Используйте группы безопасности для определения набора компьютеров, которым предоставлен доступ к объектам службы в каталоге. Например, служба может быть связана с группой серверов MyService. Все компьютеры под управлением сервера MyService добавляются в группу "Серверы MyService", а затем эту группу можно получить доступ к частям каталога, где серверы MyService должны считывать и записывать данные. Программа установки для MyService может настроить списки управления доступом в каталоге, чтобы разрешить серверам MyService достаточно разрешений для чтения и записи атрибутов, связанных с MyService, или создавать объекты, относящиеся к MyService, например.