Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление доступом для объектов в доменных службах Active Directory основано на моделях управления доступом Windows NT и Windows 2000. Дополнительные сведения и подробное описание этой модели и ее компонентов, таких как дескрипторы безопасности, маркеры доступа, идентификаторы безопасности (SID), списки управления доступом (ACL) и элементы управления доступом (ACE), см. в разделе модели управления доступом.
Привилегии доступа для ресурсов в доменных службах Active Directory обычно предоставляются с помощью записи управления доступом (ACE). ACE определяет разрешение на доступ или аудит объекта для конкретного пользователя или группы. Список управления доступом (ACL) — это упорядоченная коллекция записей управления доступом, определенных для объекта. Дескриптор безопасности поддерживает свойства и методы, которые управляют списками управления доступом. Дополнительные сведения о моделях безопасности см. в разделе или в пакете ресурсов сервера Windows 2000 . (Этот ресурс может быть недоступен на некоторых языках и странах или регионах.)
Базовым описанием модели безопасности является:
- Дескриптор безопасности. Каждый объект каталога имеет собственный дескриптор безопасности, содержащий данные безопасности, которые защищают объект. Дескриптор безопасности может содержать дискреционный список управления доступом (DACL). DACL содержит список ACEs. Каждый ACE предоставляет или запрещает набор прав доступа пользователю или группе. Права доступа соответствуют операциям, таким как чтение и запись свойств, которые могут выполняться для объекта.
- Контекст безопасности. При доступе к объекту каталога приложение указывает учетные данные субъекта безопасности, выполняющего попытку доступа. При проверке подлинности эти учетные данные определяют контекст безопасности приложения, который включает членство в группах и привилегии, связанные с субъектом безопасности. Дополнительные сведения о контекстах безопасности см. в разделе Контексты безопасности и доменные службы Active Directory.
- Проверка доступа. Система предоставляет доступ к объекту только в том случае, если дескриптор безопасности объекта предоставляет необходимые права доступа субъекту безопасности, пытающимся выполнить операцию (или группам, к которым принадлежит субъект безопасности).
В следующей таблице перечислены интерфейсы ADSI, используемые для управления функциями управления доступом доменных служб Active Directory.
| Интерфейс | Описание |
|---|---|
| IADsSecurityDescriptor | Используется для чтения и записи свойств безопасности объекта службы каталогов. |
| IADsAccessControlList | Используется для управления и перечисления всех ACE для объекта службы каталогов. |
| IADsAccessControlEntry | Используется для чтения и записи свойств ACE. |