Compartir a través de


Cómo se establecen los descriptores de seguridad en los nuevos objetos de directorio

Al crear un nuevo objeto en Servicios de dominio de Active Directory, puede crear explícitamente un descriptor de seguridad y, a continuación, establecer ese descriptor de seguridad como la propiedad nTSecurityDescriptor del objeto. Para obtener más información, vea Crear un descriptor de seguridad para un nuevo objeto de directorio.

Servicios de dominio de Active Directory usar las siguientes reglas para establecer la DACL en el descriptor de seguridad del nuevo objeto:

  • Si especifica explícitamente un descriptor de seguridad al crear el objeto, el sistema combina los AEC heredables del objeto primario en la DACL especificada a menos que el bit de SE_DACL_PROTECTED se establezca en los bits de control del descriptor de seguridad.
  • Si no especifica un descriptor de seguridad, el sistema compila la DACL del objeto mediante la combinación de cualquier ACA que se pueda heredar del objeto primario en la DACL predeterminada del objeto classSchema para la clase del objeto .
  • Si el esquema no tiene una DACL predeterminada, la DACL del objeto es la DACL predeterminada del token principal o de suplantación del creador.
  • Si no hay ninguna DACL especificada, heredada o predeterminada, el sistema crea el objeto sin DACL, lo que permite que todos los usuarios tengan acceso total al objeto.

El sistema usa un algoritmo similar para compilar una SACL para un objeto de servicio de directorio.

El propietario y el grupo principal del descriptor de seguridad del nuevo objeto se establecen en los valores especificados en la propiedad nTSecurityDescriptor al crear el objeto. Si no establece estos valores, Servicios de dominio de Active Directory use las reglas enumeradas en la tabla siguiente para establecerlos.

Regla Descripción
Propietario El propietario de un descriptor de seguridad predeterminado se establece en el SID de propietario predeterminado desde el token principal o de suplantación del proceso de creación. Para la mayoría de los usuarios, el SID de propietario predeterminado es el mismo que el SID que identifica la cuenta del usuario. Tenga en cuenta que para los usuarios que son miembros del grupo de administradores integrados, el sistema establece automáticamente el SID de propietario predeterminado en el token de acceso para el grupo de administradores; por lo tanto, los objetos creados por un miembro del grupo de administradores suelen ser propiedad del grupo de administradores. Para obtener o establecer el propietario predeterminado en un token de acceso, llame a la función GetTokenInformation o SetTokenInformation con la estructura TOKEN_OWNER .
Grupo principal El grupo principal de un descriptor de seguridad predeterminado se establece en el grupo principal predeterminado del token principal o de suplantación del creador. Tenga en cuenta que el grupo principal no se usa en el contexto de Servicios de dominio de Active Directory.

 

Para obtener más información sobre la herencia ace, vea Herencia y delegación de administración.

Para obtener más información sobre los descriptores de seguridad predeterminados en el esquema, consulte Descriptor de seguridad predeterminado.

Para obtener más información sobre los objetos classSchema , vea Esquema de Active Directory.