Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Řízení přístupu pro objekty ve službě Active Directory Domain Services je založené na modelech řízení přístupu systému Windows NT a Windows 2000. Další informace a podrobný popis tohoto modelu a jeho součástí, jako jsou popisovače zabezpečení, přístupové tokeny, identifikátory SID, seznamy ACL a prvky ACE, najdete v tématu model řízení přístupu .
Přístupová oprávnění k prostředkům ve službě Active Directory Domain Services se obvykle udělují prostřednictvím položky řízení přístupu (ACE). ACE definuje oprávnění k přístupu nebo auditu objektu pro konkrétního uživatele nebo skupinu. Seznam řízení přístupu (ACL) je seřazená kolekce položek řízení přístupu definovaných pro objekt. Popisovač zabezpečení podporuje vlastnosti a metody, které vytvářejí a spravují seznamy ACL. Další informace o modelech zabezpečení naleznete v tématu Zabezpečení nebo Windows 2000 Server Resource Kit. (Tento prostředek nemusí být dostupný v některých jazycích a zemích nebo oblastech.)
Základní přehled modelu zabezpečení je:
- Popisovač zabezpečení Každý objekt adresáře má vlastní popisovač zabezpečení, který obsahuje data zabezpečení, která objekt chrání. Popisovač zabezpečení může obsahovat volitelný seznam řízení přístupu (DACL). cs-CZ: DACL obsahuje seznam ACE. Každá funkce ACE udělí nebo odmítne sadu přístupových práv uživateli nebo skupině. Přístupová práva odpovídají operacím, jako je čtení a zápis vlastností, které lze s objektem provádět.
- Kontext zabezpečení Při přístupu k objektu adresáře aplikace určuje přihlašovací údaje subjektu zabezpečení, který se pokouší o přístup. Při ověřování tyto přihlašovací údaje určují kontext zabezpečení aplikace, který zahrnuje členství ve skupině a oprávnění přidružená k objektu zabezpečení. Další informace o kontextech zabezpečení naleznete v tématu kontexty zabezpečení a služby Active Directory Domain Services.
- Kontrola přístupu Systém uděluje přístup k objektu pouze v případě, že popisovač zabezpečení objektu udělí potřebná přístupová práva bezpečnostnímu principálu, který se pokouší provést operaci (nebo skupinám, do nichž bezpečnostní principál patří).
Následující tabulka uvádí rozhraní ADSI použitá k manipulaci s funkcemi řízení přístupu ve službě Active Directory Domain Services.
| Rozhraní | Popis |
|---|---|
| IADsSecurityDescriptor | Slouží ke čtení a zápisu vlastností zabezpečení objektu adresářové služby. |
| IADsAccessControlList | Slouží ke správě a výčtu všech položek ACE pro objekt adresářové služby. |
| IADsAccessControlEntry | Slouží ke čtení a zápisu vlastností ACE. |