Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Saat membuat objek baru di Active Directory Domain Services, Anda dapat secara eksplisit membuat deskriptor keamanan lalu mengatur deskriptor keamanan tersebut sebagai properti nTSecurityDescriptor objek. Untuk informasi selengkapnya, lihat Membuat Deskriptor Keamanan untuk Objek Direktori Baru.
Active Directory Domain Services menggunakan aturan berikut untuk mengatur DACL di deskriptor keamanan objek baru:
- Jika Anda secara eksplisit menentukan deskriptor keamanan saat membuat objek, sistem menggabungkan ACE yang dapat diwariskan dari objek induk ke DACL yang ditentukan kecuali bit SE_DACL_PROTECTED diatur dalam bit kontrol deskriptor keamanan.
- Jika Anda tidak menentukan deskriptor keamanan, sistem membangun DACL objek dengan menggabungkan ACE yang dapat diwariskan dari objek induk ke DACL default dari classSchema objek untuk kelas objek.
- Jika skema tidak memiliki DACL bawaan, DACL objek adalah DACL bawaan dari token utama atau token peniruan pembuat.
- Jika tidak ada DACL yang ditentukan, diwariskan, atau default, sistem membuat objek tanpa DACL, yang memungkinkan semua orang akses penuh ke objek.
Sistem menggunakan algoritma serupa untuk membangun SACL untuk objek layanan direktori.
Pemilik dan grup utama di deskriptor keamanan objek baru diatur ke nilai yang Anda tentukan di properti nTSecurityDescriptor saat Anda membuat objek. Jika Anda tidak mengatur nilai-nilai ini, Active Directory Domain Services menggunakan aturan yang tercantum dalam tabel berikut untuk mengaturnya.
| Peraturan | Deskripsi |
|---|---|
| Pemilik | Pemilik pada deskriptor keamanan default ditetapkan ke SID pemilik default dari token utama atau token peniruan proses yang membuat deskriptor tersebut. Untuk sebagian besar pengguna, SID pemilik default sama dengan SID yang mengidentifikasi akun pengguna. Ketahuilah bahwa untuk pengguna yang merupakan anggota grup administrator bawaan, sistem secara otomatis mengatur SID pemilik default dalam token akses ke grup administrator; oleh karena itu, objek yang dibuat oleh anggota grup administrator biasanya dimiliki oleh grup administrator. Untuk mendapatkan atau mengatur pemilik default dalam token akses, panggil fungsi GetTokenInformation atau SetTokenInformation dengan struktur TOKEN_OWNER. |
| Grup Utama | Grup utama dalam deskriptor keamanan bawaan diatur ke grup utama bawaan dari token utama atau token peniruan dari pembuat. Ketahuilah bahwa grup utama tidak digunakan dalam konteks Active Directory Domain Services. |
Untuk informasi selengkapnya tentang pewarisan ACE, lihat Pewarisan dan Delegasi Administrasi .
Untuk informasi selengkapnya tentang deskriptor keamanan default dalam skema, lihat Deskriptor Keamanan Default.
Untuk informasi selengkapnya tentang objek classSchema, lihat Skema Active Directory.