Compartir a través de


Cómo funciona Access Control en Servicios de dominio de Active Directory

El control de acceso para objetos de Servicios de dominio de Active Directory se basa en los modelos de control de acceso de Windows NT y Windows 2000. Para obtener más información y una descripción detallada de este modelo y sus componentes, como descriptores de seguridad, tokens de acceso, SID, ACL y ACE, vea Access Control Model.

Los privilegios de acceso para los recursos de Servicios de dominio de Active Directory normalmente se conceden mediante el uso de una entrada de control de acceso (ACE). Una ACE define un permiso de acceso o auditoría en un objeto para un usuario o grupo específico. Una lista de control de acceso (ACL) es la colección ordenada de entradas de control de acceso definidas para un objeto . Un descriptor de seguridad admite propiedades y métodos que crean y administran ACL. Para obtener más información sobre los modelos de seguridad, vea Seguridad o el Kit de recursos de Servidor de Windows 2000. (Es posible que este recurso no esté disponible en algunos idiomas y países o regiones).

El esquema básico del modelo de seguridad es:

  • Descriptor de seguridad. Cada objeto de directorio tiene su propio descriptor de seguridad que contiene datos de seguridad que protegen el objeto. El descriptor de seguridad puede contener una lista de control de acceso discrecional (DACL). Una DACL contiene una lista de ACL. Cada ACE concede o deniega un conjunto de derechos de acceso a un usuario o grupo. Los derechos de acceso corresponden a las operaciones, como leer y escribir propiedades, que se pueden realizar en el objeto .
  • Contexto de seguridad. Cuando se accede a un objeto de directorio, la aplicación especifica las credenciales de la entidad de seguridad que realiza el intento de acceso. Cuando se autentica, estas credenciales determinan el contexto de seguridad de la aplicación, que incluye las pertenencias a grupos y los privilegios asociados a la entidad de seguridad. Para obtener más información sobre los contextos de seguridad, consulte Contextos de seguridad y Servicios de dominio de Active Directory.
  • Comprobación de acceso. El sistema concede acceso a un objeto solo si el descriptor de seguridad del objeto concede los derechos de acceso necesarios a la entidad de seguridad que intenta la operación (o a grupos a los que pertenece la entidad de seguridad).

En la tabla siguiente se enumeran las interfaces ADSI usadas para manipular las características de control de acceso de Servicios de dominio de Active Directory.

Interfaz Descripción
IADsSecurityDescriptor Se usa para leer y escribir propiedades de seguridad de un objeto de servicio de directorio.
IADsAccessControlList Se usa para administrar y enumerar todas las ACE para un objeto de servicio de directorio.
IADsAccessControlEntry Se usa para leer y escribir propiedades ace.