Sécurité de la partition de l’annuaire d’applications

Le modèle de sécurité et de contrôle d’accès pour les partitions d’annuaire d’applications est le même que pour les autres partitions dans Active Directory Domain Services. Les utilisateurs normaux peuvent accéder aux objets d’une partition de l’annuaire d’applications sous réserve des listes de contrôle d’accès placées sur ces objets. Pour plus d’informations, consultez contrôle de l’accès aux objets dans Active Directory Domain Services.

Toutefois, étant donné que les partitions d’annuaire d’applications peuvent s’étendre sur plusieurs domaines de sécurité dans un service d’annuaire, il est question de savoir comment interpréter les constantes de chaîne SID connues relatives au domaine dans le defaultSecurityDescriptor de la classe de schéma d’un objet au moment de la création de l’objet dans une partition d’annuaire d’applications. Par exemple, si « DA » fait référence au groupe administrateurs de domaine, mais dans une partition d’annuaire d’applications, il n’est pas connu du domaine auquel le groupe « DA » fait référence.

Pour résoudre ce problème, l’objet crossRef d’une partition d’annuaire d’applications a un attribut MSDS-SDReferenceDomain qui contient le nom unique du domaine de référence pour cette partition d’annuaire d’applications. Le système de sécurité utilise le domaine spécifié pour interpréter les références de domaine local pour les descripteurs de sécurité par défaut attachés aux objets créés dans cette partition d’annuaire d’applications. Le domaine de référence peut être spécifié lors de la création de l’objet crossRef pour une partition d’annuaire d’applications. Cela requiert, toutefois, qu’un objet crossRef soit créé au préalable pour la partition de l’annuaire d’applications. Si aucun domaine de référence n’est spécifié, le système définit automatiquement le domaine de référence en fonction de l’une des conditions suivantes :

  • Si le parent de l’objet de partition de l’annuaire d’applications est une autre partition de l’annuaire d’applications, l’attribut MSDS-SDReferenceDomain de la partition de l’annuaire de l’application parente est utilisé pour le domaine de référence.
  • Si l’objet parent est un domaine, ce domaine est utilisé pour le domaine de référence.
  • S’il n’y a pas d’objet parent, le domaine racine de forêt est utilisé pour le domaine de référence.

L’attribut crossRef peut également être remplacé par le domaine de référence après la création de la partition, mais cela n’est pas recommandé.

Un problème similaire se produit si un groupe local est spécifié dans une liste de contrôle d’accès pour un objet dans une partition d’annuaire d’applications. Dans ce cas, l’attribut MSDS-SDReferenceDomain ne peut pas être utilisé pour interpréter le domaine de référence d’un groupe local. Pour éviter ce problème, les groupes locaux ne doivent pas être utilisés dans les listes de contrôle d’accès des objets de partition d’annuaire d’applications.