次の方法で共有

アプリケーションおよびサービス開発者がグループについて知る必要がある内容

  • [アーティクル]

アプリケーションまたはサービスを開発する場合は、グループを使用して、管理を委任したり、アプリケーションまたはサービス全体または一部としてのアクセスを制御したりできます。 たとえば、アプリケーションは、さまざまな管理操作を実行できるユーザーを制御できます。 これを行うには、指定したアクセス権を適切なグループに付与する ACE を作成します。 個々のユーザーまたはコンピューターへのアクセスを許可する複数の ACE を持つよりも、グループへのアクセスを許可する ACE を使用することをお勧めします。

グループを使用する場合は、アプリケーションで次のガイドラインを使用することをお勧めします。

  • ハードコーディングされたグループに依存関係を作成しないでください。この場合、グループが削除または移動された場合に複雑な問題が発生する可能性があります。
  • 組み込みグループを使用しないでください。ただし、グループの機能によってアプリケーションに固有のニーズが提供されない限り、使用しないでください。 たとえば、コンピューター アカウントを作成するアクセス許可をユーザーに付与するためだけに、ユーザーが 管理istrators グループのメンバーである必要はありません。 これにより、ユーザーに必要ないアクセス許可と特権が与えられるため、セキュリティの脆弱性が発生する可能性があります。 代わりに、必要な特定のアクセス許可を持つ新しいセキュリティ グループを作成し、この新しいグループにユーザーを追加する必要があります。
  • 新しいグループを作成するときは、次の推奨事項に注意してください。
    • メンバーを追加または削除できるユーザーを制御する ACE を設定して、グループを保護します。
    • グローバル グループは、Active Directory ドメイン Services 内のオブジェクトのアクセス制御に使用される場合に使用します。
    • ユニバーサル グループは、必要な場合にのみ使用します (メンバー データはグローバル カタログを使用してグローバルに必要です。グループには任意のユーザー/グループを含めることができます)。 ユニバーサル グループを使用する場合は、グローバル グループをユニバーサル グループに配置し、グローバル グループにユーザーを追加または削除します。 レプリケーションの効率を高めるために、ユニバーサル グループへの過剰な変更を避けます。
  • アクセス制御にはグループ メンバーシップを使用しないでください。 代わりに、ACE を使用し、システムにアクセスチェックを実行させることでアクセスを制御します。

Active Directory ドメイン サービス内のオブジェクトに対する定義済みのアクセス権に収まらない操作へのアクセスを制御するには、Windows 2000 のアクセス制御のアクセス権制御機能を使用します。 詳細については、ADS_RIGHTS_ENUMを参照してください

制御アクセス権を使用して操作を実行する権限を制御するには

  1. アプリケーションまたはサービスへのアクセスの種類を定義する制御アクセス権を作成します。 詳細については、「アクセス権の制御」を参照してください
  2. アプリケーション、サービス、またはリソースを表すオブジェクトを Active Directory ドメイン Services に作成します。
  3. オブジェクトセキュリティ記述子の DACL にオブジェクト ACE を追加して、そのオブジェクトに対する制御アクセス権をユーザーまたはグループに付与または拒否します。 詳細については、「オブジェクトに対するアクセス権の設定」を参照してください
  4. ユーザーが保護された操作を実行しようとすると、アプリケーションまたはサービスは AccessCheckByTypeResultList 関数を使用して、制御アクセス権がユーザーに付与されているかどうかを判断します。 詳細については、オブジェクトの ACL の制御アクセス権限の確認を参照してください
  5. オブジェクトに対するアクセス チェックの結果に基づいて、アプリケーションまたはサービスは、アプリケーションまたはサービスへのユーザー アクセスを許可または拒否できます。

サービス アプリケーションは、メンバーがさまざまなサービス インスタンスになるグループを作成することもできます。 たとえば、企業全体の複数のコンピューターにインスタンスがインストールされているサービスには、すべてのサービス インスタンスが書き込む共通のログ ファイルがある場合があります。 サービス・インストール・プログラムは、ログ・ファイルを作成し、DACL を使用して、グループのメンバーにのみアクセス権を付与します。 グループ メンバーは、さまざまなサービス インスタンスが実行されているユーザー アカウントであるか、LocalSystem アカウントでサービスが実行されている場合、メンバーはホスト サーバーのコンピューター アカウントになります。