Freigeben über

Verwendung von Sicherheitsgruppen in Access Control

  • Artikel

Die Sicherheits-ID (SID) ist die Objekt-ID des Benutzers oder der Sicherheitsgruppe, wenn der Benutzer oder die Gruppe zu Sicherheitszwecken verwendet wird. Der Name des Benutzers oder der Gruppe wird nicht als eindeutiger Bezeichner im System verwendet. Die SID wird im objectSid-Attribut von Benutzerobjekten und Sicherheitsgruppenobjekten gespeichert. Der Active Directory-Server generiert die objectSid , wenn der Benutzer oder die Gruppe erstellt wird. Das System stellt sicher, dass die SIDs in einer Gesamtstruktur eindeutig sind. Beachten Sie, dass objectGuid der eindeutige Bezeichner eines Benutzers, einer Gruppe oder eines anderen Verzeichnisobjekts ist. Die SID ändert sich, wenn ein Benutzer oder eine Gruppe in eine andere Domäne verschoben wird. die objectGuid bleibt gleich.

Wenn einem Benutzer oder einer Gruppe die Berechtigung für den Zugriff auf eine Ressource erteilt wird, z. B. einen Drucker oder eine Dateifreigabe, wird die SID des Benutzers oder der Gruppe dem Zugriffssteuerungseintrag (Access Control Entry, ACE) hinzugefügt, der die gewährte Berechtigung in der dacl (Discretionary Access Control List) der Ressource definiert. In Active Directory Domain Services verfügt jedes Objekt über ein nTSecurityDescriptor-Attribut, das eine DACL speichert, die den Zugriff auf das jeweilige Objekt oder die Attribute für dieses Objekt definiert. Weitere Informationen zum Festlegen der Zugriffssteuerung für Objekte in Active Directory Domain Services finden Sie unter Steuern des Zugriffs auf Objekte in Active Directory Domain Services.

Wenn sich ein Benutzer bei einer Windows 2000-Domäne anmeldet, generiert das Betriebssystem ein Zugriffstoken. Dieses Zugriffstoken wird verwendet, um zu bestimmen, auf welche Ressourcen der Benutzer zugreifen darf. Das Benutzerzugriffstoken enthält die folgenden Daten:

  • Benutzer-SID.
  • SIDs aller globalen und universellen Sicherheitsgruppen, denen der Benutzer angehört.
  • SIDs aller geschachtelten globalen und universellen Sicherheitsgruppen.

Jeder Prozess, der im Namen dieses Benutzers ausgeführt wird, verfügt über eine Kopie dieses Zugriffstokens.

Wenn der Benutzer versucht, auf Ressourcen auf einem Computer zuzugreifen, wird der Dienst, über den der Benutzer auf die Ressource zugreift, die Identität des Benutzers annehmen, indem er ein neues Zugriffstoken erstellt, das auf dem zugriffstoken basiert, das zum Zeitpunkt der Benutzeranmeldung erstellt wurde. Dieses neue Zugriffstoken enthält auch die folgenden SIDs:

  • SIDs für alle lokalen Domänengruppen in der Zieldomäne, in der der Benutzer Mitglied ist.
  • SIDs für alle lokalen Computergruppen auf dem Zielcomputer, dem der Benutzer angehört.

Der Dienst verwendet dieses neue Zugriffstoken, um den Zugriff auf die Ressource auszuwerten. Wenn eine SID im Zugriffstoken in acEs in der DACL angezeigt wird, erteilt der Dienst dem Benutzer die in diesen ACEs angegebenen Berechtigungen.