Bagikan melalui

Cara Grup Keamanan Digunakan dalam Kontrol Akses

  • Artikel

Pengidentifikasi keamanan (SID) adalah pengidentifikasi objek pengguna atau grup keamanan saat pengguna atau grup digunakan untuk tujuan keamanan. Nama pengguna atau grup tidak digunakan sebagai pengidentifikasi unik dalam sistem. SID disimpan dalam atribut objectSid objek pengguna dan objek grup keamanan. Server Direktori Aktif menghasilkan objectSid saat pengguna atau grup dibuat. Sistem memastikan bahwa SID unik di seluruh hutan. Ketahuilah bahwa objectGuid adalah pengidentifikasi unik pengguna, grup, atau objek direktori lainnya. SID berubah jika pengguna atau grup dipindahkan ke domain lain; objectGuid tetap sama.

Ketika pengguna atau grup diberikan izin untuk mengakses sumber daya, seperti printer atau berbagi file, SID pengguna atau grup ditambahkan ke entri kontrol akses (ACE) yang menentukan izin yang diberikan dalam daftar kontrol akses diskresi sumber daya (DACL). Di Active Directory Domain Services, setiap objek memiliki atribut nTSecurityDescriptor yang menyimpan DACL yang menentukan akses ke objek atau atribut tertentu pada objek tersebut. Untuk informasi selengkapnya tentang mengatur kontrol akses pada objek di Active Directory Domain Services, lihat Mengontrol Akses ke Objek di Active Directory Domain Services.

Saat pengguna masuk ke domain Windows 2000, sistem operasi menghasilkan token akses. Token akses ini digunakan untuk menentukan sumber daya mana yang dapat diakses pengguna. Token akses pengguna menyertakan data berikut:

  • SID Pengguna.
  • SID dari semua kelompok keamanan global dan universal tempat pengguna menjadi anggota.
  • SID dari semua kelompok keamanan global dan universal berlapis.

Setiap proses yang dijalankan atas nama pengguna ini memiliki salinan token akses ini.

Ketika pengguna mencoba mengakses sumber daya di komputer, layanan tempat pengguna mengakses sumber daya akan meniru pengguna dengan membuat token akses baru berdasarkan token akses yang dibuat pada waktu masuk pengguna. Token akses baru ini juga akan berisi SID berikut:

  • SID untuk semua grup lokal domain di domain target tempat pengguna menjadi anggota.
  • SID untuk semua grup lokal komputer di komputer target tempat pengguna menjadi anggota.

Layanan ini menggunakan token akses baru ini untuk mengevaluasi akses ke sumber daya. Jika SID dalam token akses muncul di ACE apa pun di DACL, layanan memberi pengguna izin yang ditentukan dalam ACE tersebut.