Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Tous les objets des services de domaine Active Directory prennent en charge un ensemble standard de droits d’accès définis dans l’énumération ADS_RIGHTS_ENUM. Ces droits d’accès peuvent être utilisés dans les entrées de contrôle d’accès d’un objet du descripteur de sécurité d’un objet pour contrôler l’accès à l’objet ; autrement dit, pour contrôler qui peut effectuer des opérations standard, telles que la création et la suppression d’objets enfants, ou la lecture et l’écriture des attributs d’objet. Toutefois, pour certaines classes d’objets, il peut être souhaitable de contrôler l’accès d’une manière non prise en charge par les droits d’accès standard. Pour faciliter cela, les services de domaine Active Directory permettent l’extension du mécanisme de contrôle d’accès standard via l’objet controlAccessRight.
Les droits d’accès de contrôle sont utilisés de trois façons :
Pour les droits étendus, qui sont des opérations spéciales non couvertes par l’ensemble standard de droits d’accès. Par exemple, la classe d’utilisateur peut recevoir un droit « Envoyer en tant que » qui peut être utilisé par Exchange, Outlook ou toute autre application de messagerie, pour déterminer si un utilisateur particulier peut avoir un autre utilisateur à envoyer du courrier en son nom. Les droits étendus sont créés sur objets controlAccessRight en définissant l’attribut validAccesses pour qu’il soit égal au droit d’accès ADS_RIGHT_DS_CONTROL_ACCESS (256).
Pour définir des jeux de propriétés, pour permettre le contrôle de l’accès à un sous-ensemble d’attributs d’un objet, plutôt qu’aux attributs individuels. À l’aide des droits d’accès standard, un ace unique peut accorder ou refuser l’accès à tous les attributs d’un objet ou à un seul attribut. Les droits d’accès de contrôle permettent à un seul ACE de contrôler l’accès à un ensemble d’attributs. Par exemple, la classe d’utilisateur prend en charge le jeu de propriétés Informations personnelles qui inclut des attributs tels que l’adresse postale et le numéro de téléphone. Les droits d’ensemble de propriétés sont créés sur objets controlAccessRight en définissant l’attribut validAccesses pour contenir les droits d’accès ACTR_DS_READ_PROP (16) et ACTRL_DS_WRITE_PROP (32).
Pour les écritures validées, exiger que le système effectue une vérification de valeur ou une validation, au-delà de celle requise par le schéma, avant d’écrire une valeur dans un attribut sur un objet DS. Cela garantit que la valeur entrée pour l’attribut est conforme à la sémantique requise, se trouve dans une plage légale de valeurs ou subit une autre vérification spéciale qui ne serait pas effectuée pour une écriture simple de bas niveau dans l’attribut. Une écriture validée est associée à une autorisation spéciale distincte de l’autorisation « Write <attribute>» qui permettrait d’écrire n’importe quelle valeur dans l’attribut sans vérification de valeur effectuée. L’écriture validée est la seule des trois droits d’accès de contrôle qui ne peuvent pas être créés en tant que nouveau droit d’accès de contrôle pour une application. Cela est dû au fait que le système existant ne peut pas être modifié par programme pour appliquer la validation. Si un droit d’accès au contrôle a été configuré dans le système en tant qu’écriture validée, l’attribut validAccesses sur les objets controlAccessRight contient le droit d’accès ADS_RIGHT_DS_SELF (8).
Il n’existe que trois écritures validées définies dans le schéma Active Directory Windows 2000 :
- Self-Membership autorisation sur un objet Group, qui permet au compte de l’appelant, mais pas d’autre compte, d’être ajoutée ou supprimée de l’appartenance d’un groupe.
- Autorisation deHost-Name validée-DNS sur un objet Ordinateur, ce qui permet à un attribut de nom d’hôte DNS conforme au nom d’ordinateur et au nom de domaine d’être défini.
- Validated-SPN autorisation sur un objet Ordinateur, ce qui permet à un attribut SPN conforme au nom d’hôte DNS de l’ordinateur d’être défini.
Pour plus de commodité, chaque droit d’accès au contrôle est représenté par un objet controlAccessRight dans le conteneur Extended-Rights de la partition Configuration, même si les jeux de propriétés et les écritures validées ne sont pas considérés comme des droits étendus. Étant donné que le conteneur Configuration est répliqué sur l’ensemble de la forêt, les droits de contrôle sont propagés sur tous les domaines d’une forêt. Il existe un certain nombre de droits d’accès de contrôle prédéfinis, et bien sûr, les droits d’accès personnalisés peuvent également être définis.
Tous les droits d’accès de contrôle peuvent être consultés en tant qu’autorisations dans l’éditeur de liste de contrôle d’accès.
Pour plus d’informations et un exemple de code C++ et Visual Basic qui définit un ACE pour contrôler l’accès en lecture/écriture à un jeu de propriétés, consultez Exemple de code pour définir un ACE sur un objet Directory.
Pour plus d’informations sur l’utilisation des droits d’accès de contrôle pour contrôler l’accès aux opérations spéciales, consultez :
- création d’un contrôle de droit d’accès
- définition d’un ace d’accès de contrôle dans la liste de contrôle d’accès d’un objet
- vérification d’un droit d’accès de contrôle dans la liste de contrôle d’accès d’un objet
- lecture d’un jeu de droits d’accès de contrôle dans la liste de contrôle d’accès d’un objet