Active Directory Domain Services Access Control 작동 방식

Active Directory Domain Services 개체에 대한 액세스 제어는 Windows NT 및 Windows 2000 액세스 제어 모델을 기반으로 합니다. 이 모델 및 해당 구성 요소(예: 보안 설명자, 액세스 토큰, SID, ACL 및 ACL)에 대한 자세한 내용과 자세한 내용은 Access Control 모델을 참조하세요.

Active Directory Domain Services 리소스에 대한 액세스 권한은 일반적으로 ACE(액세스 제어 항목)를 사용하여 부여됩니다. ACE는 특정 사용자 또는 그룹에 대한 개체에 대한 액세스 또는 감사 권한을 정의합니다. ACL(액세스 제어 목록)은 개체에 대해 정의된 액세스 제어 항목의 순서가 지정된 컬렉션입니다. 보안 설명자는 ACL을 만들고 관리하는 속성과 메서드를 지원합니다. 보안 모델에 대한 자세한 내용은 보안 또는 Windows 2000 서버 리소스 키트를 참조하세요. (일부 언어 및 국가 또는 지역에서는 이 리소스를 사용할 수 없습니다.)

보안 모델의 기본 개요는 다음과 같습니다.

• 보안 설명자. 각 디렉터리 개체에는 개체를 보호하는 보안 데이터가 포함된 자체 보안 설명자가 있습니다. 보안 설명자에는 DACL(임의 액세스 제어 목록)이 포함될 수 있습니다. DACL에는 API 목록이 포함되어 있습니다. 각 ACE는 사용자 또는 그룹에 대한 액세스 권한 집합을 부여하거나 거부합니다. 액세스 권한은 개체에서 수행할 수 있는 읽기 및 쓰기 속성과 같은 작업에 해당합니다.
• 보안 컨텍스트. 디렉터리 개체에 액세스하면 애플리케이션은 액세스를 시도하는 보안 주체의 자격 증명을 지정합니다. 인증되면 이러한 자격 증명은 보안 주체와 연결된 그룹 멤버 자격 및 권한을 포함하는 애플리케이션의 보안 컨텍스트를 결정합니다. 보안 컨텍스트에 대한 자세한 내용은 보안 컨텍스트 및 Active Directory Domain Services 참조하세요.
• 액세스 검사. 시스템은 개체의 보안 설명자가 작업을 시도하는 보안 주체(또는 보안 주체가 속한 그룹)에게 필요한 액세스 권한을 부여하는 경우에만 개체에 대한 액세스 권한을 부여합니다.

다음 표에서는 Active Directory Domain Services 액세스 제어 기능을 조작하는 데 사용되는 ADSI 인터페이스를 나열합니다.

인터페이스	설명
IADsSecurityDescriptor	디렉터리 서비스 개체의 보안 속성을 읽고 쓰는 데 사용됩니다.
IADsAccessControlList	디렉터리 서비스 개체에 대한 모든 ACL을 관리하고 열거하는 데 사용됩니다.
IADsAccessControlEntry	ACE 속성을 읽고 쓰는 데 사용됩니다.