Partager via

Sécurité de partition d’annuaire d’applications

  • Article

Le modèle de sécurité et de contrôle d’accès pour les partitions d’annuaire d’applications est identique à celui des autres partitions dans services de domaine Active Directory. Les utilisateurs normaux peuvent accéder aux objets d’une partition d’annuaire d’applications sous réserve des listes de contrôle d’accès placées sur ces objets. Pour plus d’informations, consultez Contrôle de l’accès aux objets dans services de domaine Active Directory.

Toutefois, étant donné que les partitions d’annuaires d’applications peuvent s’étendre sur plusieurs domaines de sécurité dans un service d’annuaire, la question de savoir comment interpréter les constantes de chaîne SID relatives aux domaines bien connues dans le defaultSecurityDescriptor de la classe de schéma d’un objet au moment de la création de l’objet dans une partition d’annuaire d’application. Par exemple, si « DA » fait référence au groupe d’administrateurs de domaine, mais dans une partition d’annuaire d’application, il n’est pas connu à quel domaine le groupe « DA » fait référence.

Pour résoudre ce problème, l’objet crossRef d’une partition d’annuaire d’application a un attribut msDS-SDReferenceDomain qui contient le nom unique du domaine de référence pour cette partition d’annuaire d’application. Le système de sécurité utilise le domaine spécifié pour interpréter les références de domaine local pour les descripteurs de sécurité par défaut attachés aux objets créés dans cette partition d’annuaire d’application. Le domaine de référence peut être spécifié lors de la création de l’objet crossRef pour une partition d’annuaire d’application. Toutefois, cela nécessite qu’un objet crossRef soit précréé pour la partition du répertoire d’application. Si aucun domaine de référence n’est spécifié, le système définit automatiquement le domaine de référence en fonction de l’une des conditions suivantes :

  • Si le parent de l’objet de partition de répertoire d’application est une autre partition de répertoire d’application, l’attribut msDS-SDReferenceDomain de la partition de répertoire d’application parente est utilisé pour le domaine de référence.
  • Si l’objet parent est un domaine, ce domaine est utilisé pour le domaine de référence.
  • S’il n’existe aucun objet parent, le domaine racine de forêt est utilisé pour le domaine de référence.

L’attribut crossRef peut également être modifié en domaine de référence après la création de la partition, mais cela n’est pas recommandé.

Un problème similaire se produit si un groupe local est spécifié dans une liste de contrôle d’accès pour un objet dans une partition d’annuaire d’application. Dans ce cas, l’attribut msDS-SDReferenceDomain ne peut pas être utilisé pour interpréter le domaine de référence pour un groupe local. Pour éviter ce problème, les groupes locaux ne doivent pas être utilisés dans les listes de contrôle d’accès des objets de partition de répertoire d’application.