繼承和委派 管理員
Active Directory 網域服務 支援物件樹狀結構下的許可權繼承,以允許在樹狀結構中較高層級執行管理工作。 這可讓系統管理員在根目錄附近的對象上設定可繼承的許可權,例如網域和組織單位,並將這些許可權散發到樹狀結構中的各種物件。
您可以根據每個 ACE 來設定繼承。 下表列出可在 AceFlags 中指定以控制 ACE 繼承的旗標。
| 旗標 | 描述 |
|---|---|
| ADS_ACEFLAG_INHERIT_ACE |
導致 ACE 在樹狀結構中繼承下來。 |
| ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
導致 ACE 在樹狀結構中只繼承一個層級。 |
| ADS_ACEFLAG_INHERIT_ONLY_ACE |
導致在指定物件上忽略 ACE、只繼承下來,並在繼承時有效。 |
除了設定繼承之外,Active Directory 網域服務 還支持物件特定的繼承。 這可讓可繼承的 ACE 在樹狀結構中繼承,但只在特定類型的物件上有效。 這在委派系統管理方面非常有用。 例如,這可以用來在組織單位設定物件特定的可繼承 ACE,讓群組能夠完全控制組織單位中的所有用戶物件,但沒有任何其他專案。 因此,該組織單位中的使用者管理會委派給該群組中的使用者。
使用安全組委派服務 管理員
使用安全組來定義和委派與應用程式伺服器相關聯的系統管理角色。 例如,您的服務可能與 MyService 管理員 istrators 群組相關聯。 識別為 MyService 系統管理員的使用者將會新增至 MyService 管理員 istrators 群組。 MyService 的安裝程式可以在目錄中設定 ACL,以啟用 MyService 管理員 istrators 足夠的許可權來讀取/寫入 MyService 相關屬性,或建立 MyService 特定物件,例如。
執行服務之電腦的安全組中的角色
使用安全組來定義一組計算機,這些計算機會授與您服務對象在目錄中的存取權。 例如,您的服務可能與 MyService Server 群組相關聯。 執行 MyService 伺服器的所有電腦都會新增至 MyService 伺服器群組,然後此群組即可存取 MyService 伺服器需要讀取/寫入數據的目錄部分。 MyService 的安裝程式可以在目錄上設定 ACL,讓 MyService Server 有足夠的許可權可讀取/寫入 MyService 相關屬性,或建立 MyService 特定物件,例如。