Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O modelo de segurança e controle de acesso para partições de diretório de aplicativos é o mesmo que para outras partições nos Serviços de Domínio Ative Directory. Os usuários normais podem acessar objetos em uma partição de diretório de aplicativos sujeita às ACLs colocadas nesses objetos. Para obter mais informações, consulte Controlando o acesso a objetos nos Serviços de Domínio Ative Directory.
No entanto, como as partições de diretório de aplicativos podem abranger vários domínios de segurança em um serviço de diretório, surge a questão de como interpretar constantes de cadeia de caracteres SID conhecidas relativas ao domínio nodefaultSecurityDescriptorclasse de esquema de um objeto no momento da criação do objeto em uma partição de diretório de aplicativos. Por exemplo, se "DA" se refere ao grupo de administradores de domínio, mas em uma partição de diretório de aplicativos, não se sabe a qual domínio o grupo "DA" se refere.
Para resolver esse problema, o objeto decrossRefde uma partição de diretório de aplicativos tem um atributo msDS-SDReferenceDomain que contém o nome distinto do domínio de referência para essa partição de diretório de aplicativos. O sistema de segurança usa o domínio especificado para interpretar referências de domínio local para descritores de segurança padrão anexados a objetos criados nessa partição de diretório de aplicativos. O domínio de referência pode ser especificado quando o objeto crossRef para uma partição de diretório de aplicativos é criado. Isso exige, no entanto, que um objeto crossRef seja pré-criado para a partição de diretório de aplicativos. Se nenhum domínio de referência for especificado, o sistema definirá automaticamente o domínio de referência com base em uma das seguintes condições:
- Se o pai do objeto de partição de diretório de aplicativos for outra partição de diretório de aplicativos, o atributo demsDS-SDReferenceDomainda partição de diretório de aplicativos pai será usado para o domínio de referência.
- Se o objeto pai for um domínio, esse domínio será usado para o domínio de referência.
- Se não houver nenhum objeto pai, o domínio raiz da floresta será usado para o domínio de referência.
O atributo crossRef também pode ser alterado para o domínio de referência após a criação da partição, mas isso não é recomendado.
Um problema semelhante surge se um grupo local é especificado em uma ACL para um objeto em uma partição de diretório de aplicativos. Nesse caso, o atributo msDS-SDReferenceDomain não pode ser usado para interpretar o domínio de referência para um grupo local. Para evitar esse problema, grupos locais não devem ser usados nas ACLs de objetos de partição de diretório de aplicativos.