Bagaimana Deskriptor Keamanan Diatur pada Objek Direktori Baru

Artikel
02/23/2024

Saat membuat objek baru di Active Directory Domain Services, Anda dapat secara eksplisit membuat deskriptor keamanan lalu mengatur deskriptor keamanan tersebut sebagai properti nTSecurityDescriptor objek. Untuk informasi selengkapnya, lihat Membuat Deskriptor Keamanan untuk Objek Direktori Baru.

Active Directory Domain Services menggunakan aturan berikut untuk mengatur DACL di deskriptor keamanan objek baru:

Jika Anda secara eksplisit menentukan deskriptor keamanan saat membuat objek, sistem menggabungkan ACE yang dapat diwariskan dari objek induk ke DACL yang ditentukan kecuali bit SE_DACL_PROTECTED diatur dalam bit kontrol deskriptor keamanan.
Jika Anda tidak menentukan deskriptor keamanan, sistem membangun DACL objek dengan menggabungkan ACE yang dapat diwariskan dari objek induk ke DACL default dari objek classSchema untuk kelas objek.
Jika skema tidak memiliki DACL default, DACL objek adalah DACL default dari token utama atau peniruan identitas pembuat.
Jika tidak ada DACL yang ditentukan, diwariskan, atau default, sistem membuat objek tanpa DACL, yang memungkinkan semua orang akses penuh ke objek.

Sistem menggunakan algoritma serupa untuk membangun SACL untuk objek layanan direktori.

Pemilik dan grup utama dalam deskriptor keamanan objek baru diatur ke nilai yang Anda tentukan di properti nTSecurityDescriptor saat Anda membuat objek. Jika Anda tidak mengatur nilai-nilai ini, Active Directory Domain Services menggunakan aturan yang tercantum dalam tabel berikut untuk mengaturnya.

Aturan	Deskripsi
Pemilik	Pemilik dalam deskriptor keamanan default diatur ke SID pemilik default dari token utama atau peniruan proses pembuatan. Untuk sebagian besar pengguna, SID pemilik default sama dengan SID yang mengidentifikasi akun pengguna. Ketahuilah bahwa untuk pengguna yang merupakan anggota grup administrator bawaan, sistem secara otomatis mengatur SID pemilik default dalam token akses ke grup administrator; oleh karena itu, objek yang dibuat oleh anggota grup administrator biasanya dimiliki oleh grup administrator. Untuk mendapatkan atau mengatur pemilik default dalam token akses, panggil fungsi GetTokenInformation atau SetTokenInformation dengan struktur TOKEN_OWNER.
Grup Utama	Grup utama dalam deskriptor keamanan default diatur ke grup utama default dari token utama atau peniruan identitas pembuat. Ketahuilah bahwa grup utama tidak digunakan dalam konteks Active Directory Domain Services.

Aturan

Deskripsi

Pemilik

Pemilik dalam deskriptor keamanan default diatur ke SID pemilik default dari token utama atau peniruan proses pembuatan. Untuk sebagian besar pengguna, SID pemilik default sama dengan SID yang mengidentifikasi akun pengguna. Ketahuilah bahwa untuk pengguna yang merupakan anggota grup administrator bawaan, sistem secara otomatis mengatur SID pemilik default dalam token akses ke grup administrator; oleh karena itu, objek yang dibuat oleh anggota grup administrator biasanya dimiliki oleh grup administrator. Untuk mendapatkan atau mengatur pemilik default dalam token akses, panggil fungsi GetTokenInformation atau SetTokenInformation dengan struktur TOKEN_OWNER.

Grup Utama

Grup utama dalam deskriptor keamanan default diatur ke grup utama default dari token utama atau peniruan identitas pembuat. Ketahuilah bahwa grup utama tidak digunakan dalam konteks Active Directory Domain Services.

Untuk informasi selengkapnya tentang pewarisan ACE, lihat Warisan dan Delegasi Administrasi.

Untuk informasi selengkapnya tentang deskriptor keamanan default dalam skema, lihat Deskriptor Keamanan Default.

Untuk informasi selengkapnya tentang objek classSchema , lihat Skema Direktori Aktif.

Bagikan melalui

Bagaimana Deskriptor Keamanan Diatur pada Objek Direktori Baru

Saran dan Komentar

Sumber Daya Tambahan: