Bagikan melalui


Mengontrol Hak Akses (AD DS)

Semua objek di Active Directory Domain Services mendukung serangkaian hak akses standar yang ditentukan dalam enumerasi ADS_RIGHTS_ENUM. Hak akses ini dapat digunakan dalam Entri Kontrol Akses (ASE) dari deskriptor keamanan objek untuk mengontrol akses ke objek; yaitu, untuk mengontrol siapa yang dapat melakukan operasi standar, seperti membuat dan menghapus objek anak, atau membaca dan menulis atribut objek. Namun, untuk beberapa kelas objek, mungkin diinginkan untuk mengontrol akses dengan cara yang tidak didukung oleh hak akses standar. Untuk memfasilitasi hal ini, Active Directory Domain Services memungkinkan mekanisme kontrol akses standar diperluas melalui objek controlAccessRight .

Hak akses kontrol digunakan dalam tiga cara:

  • Untuk hak yang diperpanjang, yang merupakan operasi khusus yang tidak tercakup oleh set standar hak akses. Misalnya, kelas pengguna dapat diberikan hak "Kirim Sebagai" yang dapat digunakan oleh Exchange, Outlook, atau aplikasi email lainnya, untuk menentukan apakah pengguna tertentu dapat meminta pengguna lain mengirim email atas nama mereka. Hak yang diperluas dibuat pada objek controlAccessRight dengan mengatur atribut validAccesses agar sama dengan hak akses ADS_RIGHT_DS_CONTROL_ACCESS (256).

  • Untuk menentukan set properti, untuk mengaktifkan kontrol akses ke subset atribut objek, bukan hanya ke atribut individual. Dengan menggunakan hak akses standar, satu ACE dapat memberikan atau menolak akses ke semua atribut objek atau ke satu atribut. Mengontrol hak akses menyediakan cara bagi satu ACE untuk mengontrol akses ke sekumpulan atribut. Misalnya, kelas pengguna mendukung kumpulan properti Informasi Pribadi yang menyertakan atribut seperti alamat jalan dan nomor telepon. Hak set properti dibuat pada objek controlAccessRight dengan mengatur atribut validAccesses agar berisi hak akses ACTR_DS_READ_PROP (16) dan ACTRL_DS_WRITE_PROP (32).

  • Untuk penulisan yang divalidasi, untuk mengharuskan sistem melakukan pemeriksaan nilai, atau validasi, di luar yang diperlukan oleh skema, sebelum menulis nilai ke atribut pada objek DS. Ini memastikan bahwa nilai yang dimasukkan untuk atribut sesuai dengan semantik yang diperlukan, berada dalam rentang nilai hukum, atau menjalani beberapa pemeriksaan khusus lainnya yang tidak akan dilakukan untuk penulisan tingkat rendah sederhana ke atribut . Penulisan tervalidasi dikaitkan dengan izin khusus yang berbeda dari izin "Tulis <atribut>" yang akan memungkinkan nilai apa pun ditulis ke atribut tanpa pemeriksaan nilai yang dilakukan. Penulisan yang divalidasi adalah satu-satunya dari tiga hak akses kontrol yang tidak dapat dibuat sebagai akses kontrol baru yang tepat untuk aplikasi. Ini karena sistem yang ada tidak dapat dimodifikasi secara terprogram untuk memberlakukan validasi. Jika hak akses kontrol disiapkan dalam sistem sebagai penulisan yang divalidasi, atribut validAccesses pada objek controlAccessRight akan berisi hak akses ADS_RIGHT_DS_SELF (8).

    Hanya ada tiga penulisan tervalidasi yang ditentukan dalam skema Direktori Aktif Windows 2000:

    • Izin Keanggotaan Mandiri pada objek Grup, yang memungkinkan akun penelepon, tetapi tidak ada akun lain, untuk ditambahkan atau dihapus dari keanggotaan grup.
    • Izin Validated-DNS-Host-Name pada objek Komputer, yang memungkinkan atribut nama host DNS yang sesuai dengan nama komputer dan nama domain untuk diatur.
    • Izin Validasi-SPN pada objek Komputer, yang memungkinkan atribut SPN yang sesuai dengan nama host DNS komputer untuk diatur.

Untuk kenyamanan, setiap hak akses kontrol diwakili oleh objek controlAccessRight dalam kontainer Extended-Rights dari partisi Konfigurasi, meskipun set properti dan penulisan yang divalidasi tidak dianggap sebagai hak yang diperpanjang. Karena kontainer Konfigurasi direplikasi di seluruh forest, hak kontrol disebarluaskan di semua domain di forest. Ada sejumlah hak akses kontrol yang telah ditentukan sebelumnya, dan tentu saja, hak akses kustom juga dapat ditentukan.

Semua hak akses kontrol dapat dilihat sebagai izin di Editor ACL.

Untuk informasi selengkapnya dan contoh kode C++ dan Visual Basic yang mengatur ACE untuk mengontrol akses baca/tulis ke kumpulan properti, lihat Contoh Kode untuk Mengatur ACE pada Objek Direktori.

Untuk informasi selengkapnya tentang menggunakan hak akses kontrol untuk mengontrol akses ke operasi khusus, lihat: