Fonctionnement de Access Control dans services de domaine Active Directory
Le contrôle d’accès pour les objets dans services de domaine Active Directory est basé sur les modèles de contrôle d’accès Windows NT et Windows 2000. Pour plus d’informations et une description détaillée de ce modèle et de ses composants, tels que les descripteurs de sécurité, les jetons d’accès, les SID, les ACL et les ACL, consultez Access Control Modèle.
Les privilèges d’accès pour les ressources dans services de domaine Active Directory sont généralement accordés à l’aide d’une entrée de contrôle d’accès (ACE). Une ACE définit une autorisation d’accès ou d’audit sur un objet pour un utilisateur ou un groupe spécifique. Une liste de contrôle d’accès (ACL) est la collection ordonnée d’entrées de contrôle d’accès définie pour un objet. Un descripteur de sécurité prend en charge les propriétés et les méthodes qui créent et gèrent des listes de contrôle d’accès. Pour plus d’informations sur les modèles de sécurité, consultez Sécurité ou Kit de ressources Windows 2000 Server. (Cette ressource n’est peut-être pas disponible dans certaines langues et certains pays ou régions.)
La structure de base du modèle de sécurité est la suivante :
- Descripteur de sécurité. Chaque objet d’annuaire a son propre descripteur de sécurité qui contient des données de sécurité qui protègent l’objet. Le descripteur de sécurité peut contenir une liste de contrôle d’accès discrétionnaire (DACL). Un DACL contient une liste d’ACL. Chaque ACE accorde ou refuse un ensemble de droits d’accès à un utilisateur ou à un groupe. Les droits d’accès correspondent aux opérations, telles que la lecture et l’écriture des propriétés, qui peuvent être effectuées sur l’objet .
- Contexte de sécurité. Lorsqu’un objet d’annuaire est accessible, l’application spécifie les informations d’identification du principal de sécurité qui effectue la tentative d’accès. Lorsqu’elles sont authentifiées, ces informations d’identification déterminent le contexte de sécurité de l’application, qui inclut les appartenances au groupe et les privilèges associés au principal de sécurité. Pour plus d’informations sur les contextes de sécurité, consultez Contextes de sécurité et services de domaine Active Directory.
- Accédez case activée. Le système accorde l’accès à un objet uniquement si le descripteur de sécurité de l’objet accorde les droits d’accès nécessaires au principal de sécurité qui tente l’opération (ou aux groupes auxquels appartient le principal de sécurité).
Le tableau suivant répertorie les interfaces ADSI utilisées pour manipuler les fonctionnalités de contrôle d’accès de services de domaine Active Directory.
| Interface | Description |
|---|---|
| IADsSecurityDescriptor | Utilisé pour lire et écrire les propriétés de sécurité d’un objet de service d’annuaire. |
| IADsAccessControlList | Permet de gérer et d’énumérer toutes les ACL d’un objet de service d’annuaire. |
| IADsAccessControlEntry | Utilisé pour lire et écrire des propriétés ACE. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour