Funktionsweise Access Control in Active Directory Domain Services
Die Zugriffssteuerung für Objekte in Active Directory Domain Services basiert auf Windows NT- und Windows 2000-Zugriffssteuerungsmodellen. Weitere Informationen und eine ausführliche Beschreibung dieses Modells und seiner Komponenten wie Sicherheitsdeskriptoren, Zugriffstoken, SIDs, ACLs und ACEs finden Sie unter Access Control Model.
Zugriffsberechtigungen für Ressourcen in Active Directory Domain Services werden in der Regel mithilfe eines Zugriffssteuerungseintrags (ACE) gewährt. Ein ACE definiert eine Zugriffs- oder Überwachungsberechtigung für ein Objekt für einen bestimmten Benutzer oder eine bestimmte Gruppe. Eine Zugriffssteuerungsliste (Access Control List, ACL) ist die geordnete Auflistung von Zugriffssteuerungseinträgen, die für ein Objekt definiert sind. Ein Sicherheitsdeskriptor unterstützt Eigenschaften und Methoden zum Erstellen und Verwalten von ACLs. Weitere Informationen zu Sicherheitsmodellen finden Sie unter Sicherheit oder Windows 2000 Server Resource Kit. (Diese Ressource ist in einigen Sprachen und Ländern oder Regionen möglicherweise nicht verfügbar.)
Die grundlegende Gliederung des Sicherheitsmodells ist:
- Sicherheitsdeskriptor. Jedes Verzeichnisobjekt verfügt über einen eigenen Sicherheitsdeskriptor, der Sicherheitsdaten enthält, die das Objekt schützen. Der Sicherheitsdeskriptor kann eine DACL (Discretionary Access Control List) enthalten. Eine DACL enthält eine Liste von ACEs. Jeder ACE gewährt oder verweigert einem Benutzer oder einer Gruppe Zugriffsrechte. Die Zugriffsrechte entsprechen den Vorgängen, z. B. Lese- und Schreibeigenschaften, die für das Objekt ausgeführt werden können.
- Sicherheitskontext. Wenn auf ein Verzeichnisobjekt zugegriffen wird, gibt die Anwendung die Anmeldeinformationen des Sicherheitsprinzipals an, der den Zugriff versucht. Bei der Authentifizierung bestimmen diese Anmeldeinformationen den Sicherheitskontext der Anwendung, einschließlich der Gruppenmitgliedschaften und Berechtigungen, die dem Sicherheitsprinzipal zugeordnet sind. Weitere Informationen zu Sicherheitskontexten finden Sie unter Sicherheitskontexte und Active Directory Domain Services.
- Zugriffsüberprüfung. Das System gewährt nur Dann Zugriff auf ein Objekt, wenn der Sicherheitsdeskriptor des Objekts dem Sicherheitsprinzipal, der den Vorgang versucht, die erforderlichen Zugriffsrechte gewährt (oder gruppen, zu denen der Sicherheitsprinzipal gehört).
In der folgenden Tabelle sind ADSI-Schnittstellen aufgeführt, die zum Bearbeiten der Zugriffssteuerungsfunktionen von Active Directory Domain Services.
| Schnittstelle | BESCHREIBUNG |
|---|---|
| IADsSecurityDescriptor | Wird zum Lesen und Schreiben von Sicherheitseigenschaften eines Verzeichnisdienstobjekts verwendet. |
| IADsAccessControlList | Wird zum Verwalten und Aufzählen aller ACEs für ein Verzeichnisdienstobjekt verwendet. |
| IADsAccessControlEntry | Wird zum Lesen und Schreiben von ACE-Eigenschaften verwendet. |