Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Kontrol akses untuk objek di Active Directory Domain Services didasarkan pada model kontrol akses Windows NT dan Windows 2000. Untuk informasi selengkapnya dan deskripsi terperinci tentang model ini dan komponennya seperti deskriptor keamanan, token akses, SID, ACL, dan ACE, lihat Model Kontrol Akses.
Hak istimewa akses untuk sumber daya di Active Directory Domain Services biasanya diberikan melalui penggunaan entri kontrol akses (ACE). ACE menentukan izin akses atau audit pada objek untuk pengguna atau grup tertentu. Daftar kontrol akses (ACL) adalah kumpulan entri kontrol akses yang diurutkan yang ditentukan untuk objek. Deskriptor keamanan mendukung properti dan metode yang membuat dan mengelola ACL. Untuk informasi selengkapnya tentang model keamanan, lihat Keamanan atau Windows 2000 Server Resource Kit . (Sumber daya ini mungkin tidak tersedia di beberapa bahasa dan negara atau wilayah.)
Kerangka dasar model keamanan adalah:
- Pendeskripsi keamanan. Setiap objek direktori memiliki deskriptor keamanannya sendiri yang berisi data keamanan yang melindungi objek. Deskriptor keamanan dapat berisi daftar kontrol akses diskresi (DACL). DACL berisi daftar ACE. Setiap ACE memberikan atau menolak serangkaian hak akses kepada pengguna atau grup. Hak akses sesuai dengan operasi, seperti properti membaca dan menulis, yang dapat dilakukan pada objek.
- Konteks keamanan. Ketika objek direktori diakses, aplikasi menentukan kredensial perwakilan keamanan yang melakukan upaya akses. Saat diautentikasi, kredensial ini menentukan konteks keamanan aplikasi, yang mencakup keanggotaan grup dan hak istimewa yang terkait dengan prinsip keamanan. Untuk informasi selengkapnya tentang konteks keamanan, lihat Konteks Keamanan dan Layanan Domain Direktori Aktif.
- Pemeriksaan akses. Sistem memberikan akses ke objek hanya jika deskriptor keamanan objek memberikan hak akses yang diperlukan kepada prinsip keamanan yang mencoba operasi (atau ke grup tempat prinsip keamanan berada).
Tabel berikut mencantumkan antarmuka ADSI yang digunakan untuk memanipulasi fitur kontrol akses Active Directory Domain Services.
| Antarmuka | Deskripsi |
|---|---|
| IADsSecurityDescriptor | Digunakan untuk membaca dan menulis properti keamanan objek layanan direktori. |
| IADsAccessControlList | Digunakan untuk mengelola dan menghitung semua ACE untuk objek layanan direktori. |
| IADsAccessControlEntry | Digunakan untuk membaca dan menulis properti ACE. |