共用方式為


存取控制 如何在 Active Directory 網域服務 中運作

Active Directory 網域服務 中對象的訪問控制是以 Windows NT 和 Windows 2000 訪問控制模型為基礎。 如需此模型及其元件的詳細資訊和詳細描述,例如安全性描述元、存取令牌、SID、ACL 和 ACE,請參閱 存取控制 模型

Active Directory 網域服務 中資源的訪問許可權通常是透過使用存取控制專案 (ACE) 來授與。 ACE 會針對特定使用者或群組定義對象的訪問許可權或稽核許可權。 訪問控制清單 (ACL) 是針對物件定義的存取控制專案的已排序集合。 安全性描述項支援建立和管理 ACL 的屬性和方法。 如需安全性模型的詳細資訊,請參閱 安全性Windows 2000 伺服器資源套件。 (某些語言和國家或地區可能無法使用此資源。

安全性模型的基本大綱如下:

  • 安全性描述元。 每個目錄物件都有自己的安全性描述元,其中包含保護對象的安全性數據。 安全性描述項可以包含任意訪問控制清單 (DACL)。 DACL 包含 ACE 的清單。 每個 ACE 都會授與或拒絕一組使用者或群組的訪問許可權。 訪問許可權會對應至可在 對象上執行的作業,例如讀取和寫入屬性。
  • 安全性內容。 存取目錄物件時,應用程式會指定進行存取嘗試之安全性主體的認證。 通過驗證時,這些認證會決定應用程式的安全性內容,其中包括與安全性主體相關聯的群組成員資格和許可權。 如需安全性內容的詳細資訊,請參閱安全性內容和 Active Directory 網域服務
  • 存取檢查。 只有在對象的安全性描述元授與嘗試作業之安全性主體的必要訪問許可權時,系統才會授與物件的存取權(或安全性主體所屬的群組)。

下表列出用來操作 Active Directory 網域服務 訪問控制功能的 ADSI 介面。

介面 描述
IADsSecurityDescriptor 用來讀取和寫入目錄服務物件的安全性屬性。
IADsAccessControlList 用來管理和列舉目錄服務物件的所有 ACE。
IADsAccessControlEntry 用來讀取和寫入 ACE 屬性。