Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Při vytváření nového objektu ve službě Active Directory Domain Services můžete vytvořit popisovač zabezpečení a pak tento popisovač zabezpečení nastavit jako vlastnost objektu nTSecurityDescriptor. Další informace naleznete v tématu Vytvoření popisovače zabezpečení pro nový objekt adresáře.
Služba Active Directory Domain Services používá následující pravidla k nastavení seznamu DACL v popisovači zabezpečení nového objektu:
- Pokud explicitně zadáte popisovač zabezpečení při vytváření objektu, systém sloučí všechny zděděné ACEs z nadřazeného objektu do zadaného seznamu DACL, ledaže by byl v řídicích bitech popisovače zabezpečení nastaven bit SE_DACL_PROTECTED.
- Pokud nezadáte popisovač zabezpečení, systém sestaví seznam DACL objektu sloučením všech zděděděných seznamů ACL z nadřazeného objektu do výchozího seznamu DACL z classSchema objektu pro třídu objektu.
- Pokud schéma nemá výchozí seznam DACL, je seznam DACL objektu výchozím seznamem DACL z primárního tokenu nebo tokenu zosobnění tvůrce.
- Pokud není zadán žádný zadaný, zděděný nebo výchozí seznam DACL, systém vytvoří objekt bez seznamu DACL, který umožňuje všem úplný přístup k objektu.
Systém používá podobný algoritmus k sestavení SACL pro objekt adresářové služby.
Vlastník a primární skupina v popisovači zabezpečení nového objektu jsou nastaveny na hodnoty, které zadáte v nTSecurityDescriptor vlastnost při vytváření objektu. Pokud tyto hodnoty nenastavíte, služba Active Directory Domain Services k jejich nastavení použije pravidla uvedená v následující tabulce.
| Pravidlo | Popis |
|---|---|
| Vlastník | Vlastník výchozího popisovače zabezpečení je nastavený na identifikátor SID výchozího vlastníka z primárního tokenu nebo tokenu zosobnění procesu vytváření. Pro většinu uživatelů je výchozí identifikátor SID vlastníka stejný jako identifikátor SID, který identifikuje účet uživatele. Mějte na paměti, že pro uživatele, kteří jsou členy předdefinované skupiny administrators, systém automaticky nastaví výchozí identifikátor SID vlastníka v přístupovém tokenu skupině administrators; objekty vytvořené členem skupiny Administrators jsou tedy obvykle vlastněny skupinou administrators. Chcete-li získat nebo nastavit výchozího vlastníka v přístupovém tokenu, zavolejte funkce GetTokenInformation nebo SetTokenInformation s použitím struktury TOKEN_OWNER. |
| Primární skupina | Primární skupina ve výchozím popisovači zabezpečení je nastavena na výchozí primární skupinu z primárního nebo zosobňovacího tokenu tvůrce. Mějte na paměti, že primární skupina se nepoužívá v kontextu služby Active Directory Domain Services. |
Další informace o dědičnosti ACE naleznete v tématu dědičnost a delegování správy.
Další informace o výchozích popisovačích zabezpečení ve schématu naleznete v tématu Výchozí popisovač zabezpečení.
Další informace o objektech třídy classSchema naleznete v tématu schématu služby Active Directory.