Bagikan melalui

Apa yang Perlu Diketahui Pengembang Aplikasi dan Layanan Tentang Grup

  • Artikel

Saat mengembangkan aplikasi atau layanan, Anda dapat menggunakan grup untuk mendelegasikan administrasi atau mengontrol akses ke aplikasi atau layanan secara keseluruhan atau sebagian. Misalnya, aplikasi dapat mengontrol siapa yang dapat melakukan berbagai operasi administratif. Untuk melakukan ini, buat ACE yang memberikan hak akses tertentu ke grup yang sesuai. Adalah praktik pemrograman yang baik untuk memiliki ACE yang memberikan akses ke grup daripada memiliki beberapa ACE yang memberikan akses ke pengguna atau komputer individu.

Disarankan agar aplikasi menggunakan panduan berikut saat menggunakan grup:

  • Jangan membuat dependensi pada grup yang dikodekan secara permanen, yang dapat membuat komplikasi jika grup dihapus atau dipindahkan.
  • Hindari menggunakan grup bawaan kecuali fungsi grup menyediakan kebutuhan khusus untuk aplikasi. Misalnya, tidak mengharuskan pengguna menjadi anggota grup Administrator hanya untuk memberi pengguna izin untuk membuat akun komputer. Melakukan ini memberi pengguna izin dan hak istimewa yang mungkin tidak mereka butuhkan, yang dapat menyebabkan kerentanan keamanan. Sebagai gantinya, Anda harus membuat grup keamanan baru yang memiliki izin khusus yang diperlukan dan menambahkan pengguna ke grup baru ini.
  • Saat membuat grup baru, ingatlah rekomendasi berikut:
    • Lindungi grup dengan mengatur ACE yang mengontrol siapa yang dapat menambahkan atau menghapus anggota.
    • Gunakan grup global jika digunakan untuk kontrol akses pada objek di Active Directory Domain Services.
    • Gunakan grup universal hanya jika perlu (data anggota diperlukan secara global menggunakan katalog global; grup dapat berisi pengguna/grup apa pun). Jika Anda menggunakan grup universal, tempatkan grup global di grup universal dan tambahkan/hapus pengguna dari grup global. Hindari perubahan berlebih pada grup universal untuk efisiensi replikasi.
  • Jangan gunakan keanggotaan grup untuk kontrol akses. Sebagai gantinya, gunakan ACE dan kontrol akses dengan meminta sistem melakukan pemeriksaan akses.

Untuk mengontrol akses ke operasi yang tidak sesuai dengan hak akses yang telah ditentukan sebelumnya untuk objek di layanan Domain Direktori Aktif, gunakan fitur hak akses kontrol kontrol akses di Windows 2000. Untuk informasi selengkapnya, lihat ADS_RIGHTS_ENUM.

Untuk menggunakan hak akses kontrol untuk mengontrol hak untuk melakukan operasi

  1. Buat hak akses kontrol yang menentukan jenis akses ke aplikasi atau layanan. Untuk informasi selengkapnya, lihat Mengontrol Hak Akses.
  2. Buat objek di Active Directory Domain Services yang mewakili aplikasi, layanan, atau sumber daya.
  3. Tambahkan ACE objek ke DACL di deskriptor keamanan objek untuk memberikan atau menolak pengguna atau mengelompokkan akses kontrol langsung pada objek tersebut. Untuk informasi selengkapnya, lihat Mengatur Hak Akses pada Objek.
  4. Saat pengguna mencoba melakukan operasi yang dilindungi, aplikasi atau layanan Anda menggunakan fungsi AccessCheckByTypeResultList untuk menentukan apakah hak akses kontrol diberikan kepada pengguna. Untuk informasi selengkapnya, lihat Memeriksa Akses Kontrol Tepat di ACL Objek.
  5. Berdasarkan hasil pemeriksaan akses pada objek, aplikasi atau layanan Anda dapat memberikan atau menolak akses pengguna ke aplikasi atau layanan.

Aplikasi layanan juga dapat membuat grup yang anggotanya akan menjadi berbagai instans layanan. Misalnya, layanan dengan instans yang diinstal di beberapa komputer di seluruh perusahaan mungkin memiliki file log umum yang ditulis semua instans layanan. Program penginstalan layanan membuat file log dan menggunakan DACL untuk memberikan akses hanya kepada anggota grup. Anggota grup akan menjadi akun pengguna tempat berbagai instans layanan berjalan, atau jika layanan berjalan di bawah akun LocalSystem, anggota akan menjadi akun komputer server host.