應用程式目錄資料分割安全性

應用程式目錄分割的安全性和訪問控制模型與 Active Directory 網域服務 中其他分割區的安全性和訪問控制模型相同。 一般使用者可以存取應用程式目錄分割區中的物件，但受限於這些物件上放置的 ACL。 如需詳細資訊，請參閱控制 Active Directory 網域服務 中物件的存取權。

不過，由於應用程式目錄分割可以跨越目錄服務中的多個安全性網域，因此，在應用程式目錄分割中建立物件時，如何解譯物件之架構類別 defaultSecurityDescriptor 中網域相對已知的 SID 字串常數的問題。 例如，如果 「DA」 是指網域系統管理員群組，但在應用程式目錄分割區中，則不知道 「DA」 群組所參考的網域。

若要解決此問題，應用程式目錄分割區的 crossRef 物件具有 msDS-SDReferenceDomain 屬性，其中包含該應用程式目錄分割之參考域的辨別名稱。 安全性系統會使用指定的網域來解譯附加至該應用程式目錄分割中建立之物件之預設安全性描述元的本機網域參考。 建立應用程式目錄分割區的 crossRef 物件時，可以指定參考網域。 不過， 這需要預先為應用程式目錄分割建立 crossRef 物件。 如果未指定任何參考網域，系統就會根據下列其中一個條件自動設定參考網域：

• 如果應用程式目錄分割物件的父系是另一個應用程式目錄分割區，則 父應用程式目錄分割區的 msDS-SDReferenceDomain 屬性會用於參考網域。
• 如果父對像是定義域，則該定義域會用於參考定義域。
• 如果沒有父物件，則樹系根域會用於參考網域。

建立分割區之後，crossRef 屬性也可以變更為參考域，但不建議這麼做。

如果在應用程式目錄分割中物件的 ACL 中指定了本地組，就會發生類似的問題。 在此情況下， msDS-SDReferenceDomain 屬性無法用來解譯本地組的參考網域。 為了避免這個問題，不應該在應用程式目錄分割物件的 ACL 中使用本地組。