如何在 存取控制 中使用安全組

當使用者或群組用於安全性用途時，安全性標識碼 （SID） 是使用者或安全組的物件識別碼。 使用者或群組的名稱不會當做系統內的唯一標識碼使用。 SID 會儲存在 用戶物件和安全組物件的 objectSid 屬性中。 建立使用者或群組時，Active Directory 伺服器會產生 objectSid 。 系統可確保 SID 在樹系中是唯一的。 請注意 ，objectGuid 是使用者、群組或任何其他目錄物件的唯一標識符。 如果使用者或群組移至另一個網域，SID 就會變更; objectGuid 會維持不變。

當使用者或群組獲得存取資源的許可權，例如印表機或檔案共用時，使用者或群組的 SID 會新增至訪問控制專案 （ACE），以定義資源任意存取控制清單中的已授與許可權 （DACL）。 在 Active Directory 網域服務 中，每個物件都有一個 nTSecurityDescriptor 屬性，可儲存 DACL，以定義該物件上該特定物件或屬性的存取權。 如需在 Active Directory 網域服務 中設定物件訪問控制的詳細資訊，請參閱控制 Active Directory 網域服務 中物件的存取權。

當使用者登入 Windows 2000 網域時，操作系統會產生存取令牌。 此存取令牌可用來判斷用戶可存取哪些資源。 使用者存取權杖包含下列資料：

• 使用者 SID。
• 用戶所屬之所有全域和通用安全組的 SID。
• 所有巢狀全域和通用安全組的 SID。

代表此使用者執行的每個進程都有此存取令牌的複本。

當使用者嘗試存取計算機上的資源時，使用者存取資源的服務會根據使用者登入時間建立的存取令牌來模擬使用者。 這個新的存取權杖也會包含下列 SID：

• 用戶所屬目標網域中所有網域本地組的 SID。
• 用戶所屬目標電腦上所有電腦本機群組的 SID。

服務會使用此新的存取令牌來評估資源的存取權。 如果存取令牌中的 SID 出現在 DACL 的任何 ACE 中，服務就會將這些 ACE 中指定的許可權提供給使用者。