應用程式和服務開發人員需要知道群組的相關信息

開發應用程式或服務時，您可以使用群組，將應用程式或服務的存取權委派給整體或部分。 例如，應用程式可以控制誰可以執行各種系統管理作業。 若要這樣做，請建立 ACE，將指定的訪問許可權授與適當的群組。 良好的程式設計做法是讓 ACE 授與群組的存取權，而不是讓數個 ACE 授與個別使用者或計算機的存取權。

建議使用群組時，應用程式會使用下列指導方針：

• 請勿在硬式編碼群組上建立相依性，如果刪除或移動群組，可能會造成複雜問題。
• 除非群組的函式提供應用程式的特定需求，否則請避免使用內建群組。 例如，不需要使用者是 管理員 istrators 群組的成員，只要為使用者提供建立計算機帳戶的許可權。 這樣做可為使用者提供他們可能不需要的許可權和許可權，這可能會導致安全性弱點。 相反地，您應該建立具有所需特定許可權的新安全組，並將使用者新增至這個新群組。
• 建立新的群組時，請記住下列建議：
  • 設定 ACE 來控制可新增或移除成員的人員，以保護群組。
  • 如果全域群組用於 Active Directory 網域服務 中對象的訪問控制，請使用全域群組。
  • 只有在需要時才使用通用群組（全域使用全域編錄需要成員數據;群組可以包含任何使用者/群組）。 如果您使用通用群組，請將全域群組放在通用群組中，並從全域群組新增/移除使用者。 避免對通用群組進行過度變更，以提升複寫效率。
• 請勿使用群組成員資格進行訪問控制。 相反地，請讓系統執行存取檢查，以使用 ACE 和控制存取權。

若要控制不符合 Active Directory 網域 服務中物件之預先定義訪問許可權的作業存取權，請使用 Windows 2000 中存取控制的控制項存取權限功能。 如需詳細資訊，請參閱 ADS_RIGHTS_ENUM。

若要使用控件訪問許可權來控制執行作業的權利

1. 建立控制訪問許可權，定義應用程式或服務的存取類型。 如需詳細資訊，請參閱 控制訪問許可權。
2. 在 Active Directory 網域服務 中建立物件，此物件代表應用程式、服務或資源。
3. 將物件 ACE 新增至物件安全性描述元中的 DACL，以授與或拒絕使用者或群組該物件的控制訪問許可權。 如需詳細資訊，請參閱 設定對象的訪問許可權。
4. 當使用者嘗試執行受保護的作業時，您的應用程式或服務會使用 AccessCheckByTypeResultList 函式來判斷控件訪問許可權是否授與使用者。 如需詳細資訊，請參閱 檢查物件 ACL 中的控件訪問許可權。
5. 根據物件存取檢查的結果，您的應用程式或服務可以授與或拒絕使用者對應用程式或服務的存取權。

服務應用程式也可以建立群組，其成員會是各種服務實例。 例如，在企業中的多部計算機上安裝實例的服務，可能會有所有服務實例寫入的通用記錄檔。 服務安裝程式會建立記錄檔，並使用 DACL 只授與群組成員的存取權。 群組成員會是執行各種服務實例的用戶帳戶，或者如果服務是在 LocalSystem 帳戶下執行，則成員會是主機伺服器的電腦帳戶。