Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per controllare l'accesso agli oggetti dell'applicazione, usare il descrittore di sicurezza degli oggetti, in particolare, con l'elenco di controllo di accesso discrezionale (DACL) e le sue voci di controllo di accesso.
Quando viene creato un oggetto, riceve un descrittore di sicurezza. Per ulteriori informazioni e una descrizione delle regole usate dal sistema per creare il DACL per un nuovo oggetto, vedere Come sono impostati i descrittori di sicurezza su nuovi oggetti di directory. Queste regole rivelano che è possibile:
- Creare un nuovo descrittore di sicurezza e collegarlo all'oggetto in fase di creazione. Per altre informazioni, vedere Creazione di un descrittore di sicurezza per un nuovo oggetto directory.
- Applicare un ACE ereditabile, in qualsiasi punto della gerarchia di directory, in modo che un ACE venga ereditato dagli oggetti nell'albero. Un oggetto può ereditare un ACE dal contenitore padre. Per altre informazioni, vedere ereditarietà e delega dell'amministrazione.
- Specificare un ACE nel DACL predefinito dello schema, se si hanno i diritti di accesso necessari. Ogni definizione della classe oggetto nello schema include un descrittore di sicurezza predefinito che può avere un DACL predefinito. Per altre informazioni, vedere descrittore di sicurezza predefinito.
È inoltre possibile modificare l'elenco DACL di un oggetto esistente. Si può:
- Sostituire la DACL con una nuova.
- Leggere l'elenco DACL esistente, modificarlo e applicare l'elenco DACL modificato.Read the existing DACL, modify it, and apply the modified DACL. Per altre informazioni, vedere Impostazione dei diritti di accesso per un oggetto.
L'elenco seguente descrive la funzione più importante di un ace in Servizi di dominio Active Directory. Con un ACE, è possibile:
- Controllare chi può eseguire operazioni specifiche su un oggetto .
- Controllare chi può accedere a una proprietà specifica o a un set di proprietà di un oggetto .
- Controllare chi può creare oggetti figlio in un contenitore, compreso chi può creare un tipo specifico di oggetto figlio.
- Definire i diritti di accesso al controllo privato per un tipo di oggetto e controllare chi può eseguire le operazioni protette dai diritti privati.
- Applicare un ACE (Access Control Entry) a un oggetto contenitore alla radice di un sottoalbero di directory, in modo che le protezioni possano essere ereditate automaticamente da tutti i discendenti nella gerarchia.
- Applicare un ACE ereditato automaticamente da un tipo specifico di oggetto figlio in un sottoalbero.
- Creare un ace che concede diritti a un gruppo di sicurezza, anziché a un singolo utente.
- Applicare un ACE agli oggetti dei Criteri di gruppo per controllare gli account e i computer interessati dai criteri.