Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Identifikátor zabezpečení (SID) je identifikátor objektu uživatele nebo skupiny zabezpečení, pokud se uživatel nebo skupina používá pro účely zabezpečení. Jméno uživatele nebo skupiny se nepoužívá jako jedinečný identifikátor v systému. Identifikátor SID je uložen v atributu objectSid u uživatelských objektů a objektů skupiny zabezpečení. Server služby Active Directory generuje objectSid při vytvoření uživatele nebo skupiny. Systém zajišťuje, aby identifikátory SID byly v lesní struktuře jedinečné. Mějte na paměti, že objectGuid je jedinečný identifikátor uživatele, skupiny nebo jakéhokoli jiného objektu adresáře. Identifikátor SID se změní, pokud je uživatel nebo skupina přesunuta do jiné domény; objectGuid zůstává stejný.
Když uživateli nebo skupině udělíte oprávnění pro přístup k prostředku, například tiskárně nebo sdílené složce, přidá se identifikátor SID uživatele nebo skupiny k položce řízení přístupu (ACE), která definuje udělené oprávnění v volitelném seznamu řízení přístupu (DACL) prostředku. Ve službě Active Directory Domain Services má každý objekt nTSecurityDescriptor atribut, který ukládá seznam DACL definující přístup k danému objektu nebo atributům daného objektu. Další informace o nastavení řízení přístupu u objektů ve službě Active Directory Domain Services naleznete v tématu Řízení přístupu k objektům ve službě Active Directory Domain Services.
Když se uživatel přihlásí k doméně systému Windows 2000, operační systém vygeneruje přístupový token. Tento přístupový token slouží k určení prostředků, ke kterým má uživatel přístup. Přístupový token uživatele zahrnuje následující data:
- IDENTIFIKÁTOR SID uživatele.
- IDENTIFIKÁTORY SID všech globálních a univerzálních skupin zabezpečení, na které je uživatel členem.
- SID identifikátory všech vnořených globálních a univerzálních skupin zabezpečení.
Každý proces spuštěný jménem tohoto uživatele má kopii tohoto přístupového tokenu.
Když se uživatel pokusí získat přístup k prostředkům v počítači, služba, prostřednictvím které uživatel přistupuje k prostředku, zosobní uživatele vytvořením nového přístupového tokenu na základě přístupového tokenu vytvořeného v době přihlášení uživatele. Tento nový přístupový token bude obsahovat také následující identifikátory SID:
- IDENTIFIKÁTORY SID pro všechny místní skupiny domény v cílové doméně, ve které je uživatel členem.
- IDENTIFIKÁTORY SID pro všechny místní skupiny počítačů v cílovém počítači, ve které je uživatel členem.
Služba používá tento nový přístupový token k vyhodnocení přístupu k prostředku. Pokud se identifikátor SID v přístupovém tokenu objeví v některém ACE v DACL, služba uživateli udělí oprávnění uvedená v těchto ACE.