Membuat Kontrol Akses Ke Kanan
Untuk menambahkan hak akses kontrol ke server Direktori Aktif, buat objek controlAccessRight di kontainer Extended-Rights dari partisi Konfigurasi. Untuk informasi selengkapnya dan contoh kode, lihat Contoh Kode untuk Membuat Hak Akses Kontrol. Untuk menggunakan hak akses kontrol, Anda harus menyelesaikan beberapa langkah lagi, tergantung pada apakah hak akses kontrol adalah untuk operasi khusus atau kumpulan properti.
Jika Anda menentukan hak akses kontrol untuk kumpulan properti, gunakan rightsGUID objek controlAccessRight untuk mengidentifikasi properti dalam set. Setiap properti didefinisikan oleh objek attributeSchema dalam skema Direktori Aktif. Properti attributeSecurityGUID dari objek attributeSchema mengidentifikasi kumpulan properti, jika ada, milik properti tersebut. Ketahuilah bahwa properti attributeSecurityGUID bernilai tunggal dan menyimpan GUID dalam format biner (sintaks string oktet).
Jika Anda menentukan hak akses kontrol untuk menempatkan pembatasan akses ke operasi tertentu, aplikasi Anda harus melakukan pemeriksaan akses saat pengguna mencoba operasi.
Untuk menyiapkan pemeriksaan akses
- Buat hak akses kontrol yang menentukan jenis akses ke aplikasi atau layanan. Untuk informasi selengkapnya, lihat contoh kode berikut.
- Buat objek Active Directory Domain Services yang mewakili aplikasi, layanan, atau sumber daya yang Anda lindungi.
- Tambahkan ACE objek ke DACL di deskriptor keamanan objek untuk memberikan atau menolak pengguna atau mengelompokkan akses kontrol langsung pada objek tersebut. Untuk informasi selengkapnya, lihat Mengatur ACE Hak Akses Kontrol di ACL Objek.
- Saat pengguna mencoba melakukan operasi, verifikasi hak pengguna dengan meneruskan deskriptor keamanan objek dan token akses pengguna ke fungsi AccessCheckByTypeResultList. Untuk informasi selengkapnya, lihat Memeriksa Akses Kontrol Tepat di ACL Objek.
Berdasarkan hasil pemeriksaan akses pada objek, aplikasi atau layanan dapat mengizinkan atau menolak akses pengguna ke aplikasi atau layanan.
Saat Anda membuat objek controlAccessRight , atur atribut, yang tercantum dalam tabel berikut, untuk menjadikan objek sebagai hak akses kontrol hukum yang dikenali oleh Active Directory Domain Services dan sistem keamanan Windows.
| Atribut | Deskripsi |
|---|---|
| Cn | Properti bernilai tunggal yang merupakan nama khusus relatif objek (RDN) dalam kontainer Extended-Rights. cn adalah nama kontrol akses tepat di Active Directory Domain Services. |
| appliesTo | Properti multinilai yang mencantumkan kelas objek tempat hak kontrol akses diterapkan. Misalnya, hak kontrol akses Send-As mencantumkan kelas objek pengguna dan komputer di properti terapkanKe. Dalam daftar, setiap kelas objek diidentifikasi oleh skemaIDGUID objek classSchema-nya. GUID disimpan sebagai string formulir yang dihasilkan oleh fungsi StringFromGUID2 di pustaka COM tetapi tanpa kurung kurawal awal dan penghentian ({ }). Misalnya, GUID berikut adalah skemaIDGUID untuk kelas komputer : bf967a86-0de6-11d0-a285-00aa003049e2. Ketahuilah bahwa properti skemaIDGUID dari objek classSchema disimpan sebagai GUID biner menggunakan sintaks string oktet. Untuk mengonversi format string oktet ini ke format string yang digunakan dalam properti appliesTo, gunakan fungsi StringFromGUID2 dan hapus kurung kurawal dari string yang dikembalikan. Untuk informasi selengkapnya tentang properti skemaIDGUID dari salah satu kelas objek yang telah ditentukan sebelumnya, seperti pengguna atau komputer, lihat halaman referensi kelas di Referensi Skema Direktori Aktif di Referensi Layanan Domain Direktori Aktif. Untuk informasi selengkapnya dan contoh kode yang mengambil skemaIDGUID dari objek classSchema, lihat Membaca atributSkema dan kelas Objek Skema. |
| Displayname | String yang digunakan untuk menampilkan kontrol akses tepat di antarmuka pengguna seperti halaman properti Keamanan dan tempat lain di snap-in MMC Pengguna Direktori Aktif dan Komputer. |
| rightsGuid | GUID yang mengidentifikasi akses kontrol tepat di ACE. GUID disimpan sebagai string formulir yang dihasilkan oleh fungsi StringFromGUID2 , tetapi tanpa kurung kurawal awal dan penghentian. Gunakan Uuidgen.exe untuk beberapa utilitas lain untuk menghasilkan GUID untuk hak akses kontrol. Jika Anda menentukan kumpulan properti baru, Anda menggunakan rightsGuid objek controlAccessRight untuk mengidentifikasi properti dalam set. Untuk setiap properti dalam kumpulan properti, atur nilai attributeSecurityGUID properti ke nilai rightsGUID kumpulan properti. Nilai attributeSecurityGUID properti disimpan dalam definisi attributeSchema properti dalam skema Direktori Aktif. Properti attributeSecurityGUID bernilai tunggal dan menyimpan GUID dalam format biner (sintaks string oktet). |
| objectClass | Atribut ini menentukan controlAccessRight sebagai kelas objek. |
| validAccesses | Untuk kumpulan properti, atur atribut ini ke 0x30 (ADS_RIGHT_DS_READ_PROP | ADS_RIGHT_DS_WRITE_PROP). Untuk mengontrol hak akses, atur atribut ini ke 0x100 (ADS_RIGHT_DS_CONTROL_ACCESS). Halaman properti keamanan mengenali hak akses kontrol hanya jika atribut validAccesses diatur ke nilai yang sesuai. Jika nol, hak akses kontrol diabaikan atau tidak ditampilkan oleh halaman properti keamanan. |
Ketahuilah bahwa kelas skema yang telah ditentukan sebelumnya menggunakan atribut localizationDisplayId dari objek controlAccessRight untuk menentukan pengidentifikasi pesan yang digunakan untuk mengambil nama tampilan yang dilokalkan dari Dssec.dll. Jangan atur atribut localizationDisplayId jika Anda menentukan objek controlAccessRight baru.