Настройка дескрипторов безопасности в новых объектах каталога
При создании нового объекта в службах домен Active Directory можно явно создать дескриптор безопасности, а затем задать этот дескриптор безопасности в качестве свойства nTSecurityDescriptor объекта. Дополнительные сведения см. в разделе "Создание дескриптора безопасности" для нового объекта каталога.
службы домен Active Directory используют следующие правила, чтобы задать DACL в дескрипторе безопасности нового объекта:
- Если при создании объекта явно указан дескриптор безопасности, система объединяет все наследуемые acEs из родительского объекта в указанный daCL, если SE_DACL_PROTECTED бит не задан в битах элемента управления дескриптора безопасности.
- Если дескриптор безопасности не указан, система создает DACL объекта путем объединения всех наследуемых acEs из родительского объекта в daCL по умолчанию из объекта classSchema для класса.
- Если схема не имеет DACL по умолчанию, daCL объекта является daCL по умолчанию из первичного или олицетворения маркера создателя.
- Если параметр DACL не указан, наследуется или по умолчанию, система создает объект без DACL, что позволяет всем пользователям получить полный доступ к объекту.
Система использует аналогичный алгоритм для создания SACL для объекта службы каталогов.
Владелец и основная группа в дескрипторе безопасности нового объекта задаются значениями, указанными в свойстве nTSecurityDescriptor при создании объекта. Если эти значения не заданы, домен Active Directory службы используют правила, перечисленные в следующей таблице, чтобы задать их.
| Правило | Description |
|---|---|
| Ответственный | Владелец в дескрипторе безопасности по умолчанию имеет идентификатор безопасности владельца по умолчанию из первичного или олицетворения маркера процесса создания. Для большинства пользователей идентификатор владельца по умолчанию совпадает с идентификатором безопасности, который определяет учетную запись пользователя. Помните, что для пользователей, являющихся членами встроенной группы администраторов, система автоматически задает идентификатор владельца по умолчанию в маркере доступа группе администраторов; поэтому объекты, созданные членом группы администраторов, обычно принадлежат группе администраторов. Чтобы получить или задать владельца по умолчанию в маркере доступа, вызовите функцию GetTokenInformation или SetTokenInformation со структурой TOKEN_OWNER. |
| Основная группа | Основная группа в дескрипторе безопасности по умолчанию имеет основную группу по умолчанию из первичного или олицетворения маркера олицетворения создателя. Помните, что основная группа не используется в контексте служб домен Active Directory. |
Дополнительные сведения о наследовании ACE см. в разделе "Наследование и делегирование Администратор istration".
Дополнительные сведения о дескрипторах безопасности по умолчанию в схеме см . в дескрипторе безопасности по умолчанию.
Дополнительные сведения о объектах classSchema см. в разделе "Схема Active Directory".
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по