Bagikan melalui

Keamanan Partisi Direktori Aplikasi

  • Artikel

Model kontrol keamanan dan akses untuk partisi direktori aplikasi sama dengan yang untuk partisi lain di Active Directory Domain Services. Pengguna normal dapat mengakses objek dalam partisi direktori aplikasi yang tunduk pada ACL yang ditempatkan pada objek tersebut. Untuk informasi selengkapnya, lihat Mengontrol Akses ke Objek di Active Directory Domain Services.

Namun, karena partisi direktori aplikasi dapat mencakup beberapa domain keamanan dalam layanan direktori, muncul pertanyaan tentang cara menginterpretasikan konstanta string SID terkenal relatif domain dalam defaultSecurityDescriptor dari kelas skema objek pada saat pembuatan objek dalam partisi direktori aplikasi. Misalnya, jika "DA" mengacu pada grup administrator domain, tetapi dalam partisi direktori aplikasi, tidak diketahui domain mana yang dirujuk oleh grup "DA".

Untuk mengatasi masalah ini, objek crossRef dari partisi direktori aplikasi memiliki atribut msDS-SDReferenceDomain yang berisi nama khusus domain referensi untuk partisi direktori aplikasi tersebut. Sistem keamanan menggunakan domain yang ditentukan untuk menginterpretasikan referensi domain lokal untuk deskriptor keamanan default yang dilampirkan ke objek yang dibuat dalam partisi direktori aplikasi tersebut. Domain referensi dapat ditentukan ketika objek crossRef untuk partisi direktori aplikasi dibuat. Namun, ini mengharuskan objek crossRef dibuat sebelumnya untuk partisi direktori aplikasi. Jika tidak ada domain referensi yang ditentukan, sistem secara otomatis mengatur domain referensi berdasarkan salah satu kondisi berikut:

  • Jika induk objek partisi direktori aplikasi adalah partisi direktori aplikasi lain, maka atribut msDS-SDReferenceDomain dari partisi direktori aplikasi induk digunakan untuk domain referensi.
  • Jika objek induk adalah domain, maka domain tersebut digunakan untuk domain referensi.
  • Jika tidak ada objek induk, maka domain akar forest digunakan untuk domain referensi.

Atribut crossRef juga dapat diubah ke domain referensi setelah partisi dibuat, tetapi ini tidak disarankan.

Masalah serupa muncul jika grup lokal ditentukan dalam ACL untuk objek dalam partisi direktori aplikasi. Dalam hal ini, atribut msDS-SDReferenceDomain tidak dapat digunakan untuk menginterpretasikan domain referensi untuk grup lokal. Untuk menghindari masalah ini, grup lokal tidak boleh digunakan dalam ACL objek partisi direktori aplikasi.