Active Directory Domain Services 中對象的訪問控制是以 Windows NT 和 Windows 2000 訪問控制模型為基礎。 如需此模型及其元件的詳細資訊和詳細描述,例如安全性描述元、存取令牌、SID、ACL 和 ACE,請參閱 訪問控制模型。
Active Directory 網域服務中資源的存取許可權通常會透過使用存取控制項目(ACE)來授與。 ACE 會針對特定使用者或群組定義對象的訪問許可權或稽核許可權。 訪問控制清單 (ACL) 是針對物件定義的存取控制專案的已排序集合。 安全性描述項支援建立和管理 ACL 的屬性和方法。 如需安全性模型的詳細資訊,請參閱 Security 或 Windows 2000 Server Resource Kit。 (某些語言和國家或地區可能無法使用此資源。
安全性模型的基本大綱如下:
- 安全性描述元。 每個目錄物件都有自己的安全性描述元,其中包含保護對象的安全性數據。 安全性描述項可以包含任意訪問控制清單 (DACL)。 DACL 包含 ACE 的清單。 每個 ACE 都會授與或拒絕一組使用者或群組的訪問許可權。 訪問許可權會對應至可在 對象上執行的作業,例如讀取和寫入屬性。
- 安全情境 存取目錄物件時,應用程式會指定進行存取嘗試之安全性主體的認證。 通過驗證時,這些認證會決定應用程式的安全性內容,其中包括與安全性主體相關聯的群組成員資格和許可權。 如需安全性內容的詳細資訊,請參閱 安全性內容和 Active Directory Domain Services。
- 存取檢查。 只有當物件的安全性描述元授予嘗試執行操作的安全性主體(或其所屬的群組)必要的訪問權限時,系統才會允許存取該物件。
下表列出用來作 Active Directory 網域服務的存取控制功能的 ADSI 介面。
| 介面 | 描述 |
|---|---|
| IADsSecurityDescriptor | 用來讀取和寫入目錄服務物件的安全性屬性。 |
| IADsAccessControlList | 用來管理和列舉目錄服務物件的所有 ACE。 |
| IADsAccessControlEntry | 用來讀取和寫入 ACE 屬性。 |