Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Model řízení zabezpečení a přístupu pro oddíly adresářů aplikací je stejný jako u jiných oddílů ve službě Active Directory Domain Services. Normální uživatelé mají přístup k objektům v oddílu adresáře aplikace v závislosti na seznamech ACL umístěných na těchto objektech. Další informace naleznete v tématu Řízení přístupu k objektům ve službě Active Directory Domain Services.
Vzhledem k tomu, že oddíly adresáře aplikací mohou v adresářové službě zahrnovat více domén zabezpečení, vzniká otázka, jak interpretovat konstanty řetězce SID relativní vzhledem k doméně v defaultSecurityDescriptor třídy schématu objektu v době vytvoření objektu v oddílu adresáře aplikace. Pokud například "DA" odkazuje na skupinu správců domény, ale v oddílu adresáře aplikace není známo, na kterou doménu skupina DA odkazuje.
Chcete-li tento problém vyřešit, crossRef objekt oddílu adresáře aplikace má msDS-SDReferenceDomain atribut, který obsahuje rozlišující název referenční domény pro tento oddíl adresáře aplikace. Systém zabezpečení používá zadanou doménu k interpretaci odkazů na místní doménu pro výchozí popisovače zabezpečení připojené k objektům vytvořeným v tomto oddílu adresáře aplikace. Referenční doménu lze zadat při vytvoření objektu crossRef oddílu adresáře aplikace. To však vyžaduje, aby objekt crossRef byl předem vytvořen pro oddíl adresáře aplikace. Pokud není zadána žádná referenční doména, systém automaticky nastaví referenční doménu na základě jedné z následujících podmínek:
- Pokud je nadřazeným objektem oddílu adresáře aplikace jiný oddíl adresáře aplikace, použije se pro referenční doménu msDS-SDReferenceDomain atribut nadřazeného oddílu adresáře aplikace.
- Pokud je nadřazený objekt doménou, použije se tato doména pro referenční doménu.
- Pokud neexistuje žádný nadřazený objekt, použije se kořenová doména doménové struktury pro referenční doménu.
Atribut crossRef lze po vytvoření oddílu změnit také na referenční doménu, ale nedoporučuje se to.
Podobný problém nastane, pokud je místní skupina zadaná v seznamu ACL objektu v oddílu adresáře aplikace. V tomto případě nelze atribut msDS-SDReferenceDomain interpretovat referenční doménu pro místní skupinu. Aby se zabránilo tomuto problému, místní skupiny by se neměly používat v seznamech ACL objektů oddílů adresáře aplikace.