Поделиться через

Настройка дескрипторов безопасности в новых объектах каталога

  • Статья

При создании нового объекта в службах домен Active Directory можно явно создать дескриптор безопасности, а затем задать этот дескриптор безопасности в качестве свойства nTSecurityDescriptor объекта. Дополнительные сведения см. в разделе "Создание дескриптора безопасности" для нового объекта каталога.

службы домен Active Directory используют следующие правила, чтобы задать DACL в дескрипторе безопасности нового объекта:

  • Если при создании объекта явно указан дескриптор безопасности, система объединяет все наследуемые acEs из родительского объекта в указанный daCL, если SE_DACL_PROTECTED бит не задан в битах элемента управления дескриптора безопасности.
  • Если дескриптор безопасности не указан, система создает DACL объекта путем объединения всех наследуемых acEs из родительского объекта в daCL по умолчанию из объекта classSchema для класса.
  • Если схема не имеет DACL по умолчанию, daCL объекта является daCL по умолчанию из первичного или олицетворения маркера создателя.
  • Если параметр DACL не указан, наследуется или по умолчанию, система создает объект без DACL, что позволяет всем пользователям получить полный доступ к объекту.

Система использует аналогичный алгоритм для создания SACL для объекта службы каталогов.

Владелец и основная группа в дескрипторе безопасности нового объекта задаются значениями, указанными в свойстве nTSecurityDescriptor при создании объекта. Если эти значения не заданы, домен Active Directory службы используют правила, перечисленные в следующей таблице, чтобы задать их.

Правило Description
Ответственный Владелец в дескрипторе безопасности по умолчанию имеет идентификатор безопасности владельца по умолчанию из первичного или олицетворения маркера процесса создания. Для большинства пользователей идентификатор владельца по умолчанию совпадает с идентификатором безопасности, который определяет учетную запись пользователя. Помните, что для пользователей, являющихся членами встроенной группы администраторов, система автоматически задает идентификатор владельца по умолчанию в маркере доступа группе администраторов; поэтому объекты, созданные членом группы администраторов, обычно принадлежат группе администраторов. Чтобы получить или задать владельца по умолчанию в маркере доступа, вызовите функцию GetTokenInformation или SetTokenInformation со структурой TOKEN_OWNER.
Основная группа Основная группа в дескрипторе безопасности по умолчанию имеет основную группу по умолчанию из первичного или олицетворения маркера олицетворения создателя. Помните, что основная группа не используется в контексте служб домен Active Directory.

 

Дополнительные сведения о наследовании ACE см. в разделе "Наследование и делегирование Администратор istration".

Дополнительные сведения о дескрипторах безопасности по умолчанию в схеме см . в дескрипторе безопасности по умолчанию.

Дополнительные сведения о объектах classSchema см. в разделе "Схема Active Directory".