Freigeben über

Sicherheit der Anwendungsverzeichnispartition

  • Artikel

Das Sicherheits- und Zugriffssteuerungsmodell für Anwendungsverzeichnispartitionen entspricht dem Modell für andere Partitionen in Active Directory Domain Services. Normale Benutzer können auf Objekte in einer Anwendungsverzeichnispartition zugreifen, die den in diesen Objekten platzierten ACLs unterliegen. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Objekte in Active Directory Domain Services.

Da Anwendungsverzeichnispartitionen jedoch mehrere Sicherheitsdomänen in einem Verzeichnisdienst umfassen können, stellt sich die Frage, wie domänenrelative bekannte SID-Zeichenfolgenkonstanten im defaultSecurityDescriptor der Schemaklasse eines Objekts zum Zeitpunkt der Objekterstellung in einer Anwendungsverzeichnispartition interpretiert werden. Wenn sich "DA" beispielsweise auf die Gruppe der Domänenadministratoren bezieht, aber in einer Anwendungsverzeichnispartition, ist nicht bekannt, auf welche Domäne sich die Da-Gruppe bezieht.

Um dieses Problem zu beheben, verfügt das crossRef-Objekt einer Anwendungsverzeichnispartition über ein msDS-SDReferenceDomain-Attribut , das den distinguished Name der Referenzdomäne für diese Anwendungsverzeichnispartition enthält. Das Sicherheitssystem verwendet die angegebene Domäne, um verweise auf lokale Domänen für Standardsicherheitsbeschreibungen zu interpretieren, die an Objekte angefügt sind, die in dieser Anwendungsverzeichnispartition erstellt wurden. Die Verweisdomäne kann angegeben werden, wenn das crossRef-Objekt für eine Anwendungsverzeichnispartition erstellt wird. Dies erfordert jedoch, dass ein crossRef-Objekt für die Anwendungsverzeichnispartition vorab erstellt wird. Wenn keine Verweisdomäne angegeben ist, legt das System die Referenzdomäne automatisch basierend auf einer der folgenden Bedingungen fest:

  • Wenn das übergeordnete Objekt des Anwendungsverzeichnispartitionsobjekts eine andere Anwendungsverzeichnispartition ist, wird für die Referenzdomäne das Attribut msDS-SDReferenceDomain der übergeordneten Anwendungsverzeichnispartition verwendet.
  • Wenn das übergeordnete Objekt eine Domäne ist, wird diese Domäne für die Referenzdomäne verwendet.
  • Wenn kein übergeordnetes Objekt vorhanden ist, wird die Stammdomäne der Gesamtstruktur für die Verweisdomäne verwendet.

Das crossRef-Attribut kann auch in die Referenzdomäne geändert werden, nachdem die Partition erstellt wurde. Dies wird jedoch nicht empfohlen.

Ein ähnliches Problem tritt auf, wenn eine lokale Gruppe in einer ACL für ein Objekt in einer Anwendungsverzeichnispartition angegeben wird. In diesem Fall kann das Attribut msDS-SDReferenceDomain nicht verwendet werden, um die Verweisdomäne für eine lokale Gruppe zu interpretieren. Um dieses Problem zu vermeiden, sollten lokale Gruppen nicht in den ACLs von Anwendungsverzeichnispartitionsobjekten verwendet werden.