Ereditarietà e delega di Amministrazione istration
Dominio di Active Directory Services supporta l'ereditarietà delle autorizzazioni verso il basso nell'albero degli oggetti per consentire l'esecuzione delle attività di amministrazione a livelli superiori nell'albero. In questo modo gli amministratori possono configurare autorizzazioni ereditabili per gli oggetti vicino alla radice, ad esempio le unità di dominio e dell'organizzazione, e disporre di tali autorizzazioni distribuite a vari oggetti nell'albero.
L'ereditarietà può essere impostata su base ACE. Nella tabella seguente sono elencati i flag che possono essere specificati in AceFlags per controllare l'ereditarietà dell'ace.
| Flag | Descrizione |
|---|---|
| ADS_ACEFLAG_INHERIT_ACE |
Fa sì che l'ace venga ereditato nell'albero. |
| ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE |
Fa sì che l'ace venga ereditato solo un livello nell'albero. |
| ADS_ACEFLAG_INHERIT_ONLY_ACE |
Fa sì che l'ace venga ignorato sull'oggetto su cui è specificato, venga ereditato solo inattivo ed efficace in cui sia stato ereditato. |
Oltre a impostare l'ereditarietà, Dominio di Active Directory Services supporta l'ereditarietà specifica dell'oggetto. In questo modo gli ACL ereditabili devono essere ereditati nell'albero, ma essere efficaci solo su un tipo specifico di oggetto. Questo è estremamente utile per delegare l'amministrazione. Ad esempio, questo può essere usato per impostare un ace ereditabile specifico dell'oggetto in un'unità organizzativa che consente a un gruppo di avere il controllo completo su tutti gli oggetti utente nell'unità organizzativa, ma nient'altro. Di conseguenza, la gestione degli utenti in tale unità organizzativa viene delegata agli utenti di tale gruppo.
Delega dell'Amministrazione del servizio con i gruppi di sicurezza
Usare i gruppi di sicurezza per definire e delegare i ruoli amministrativi associati al server applicazioni. Ad esempio, il servizio può essere associato a un gruppo MyService Amministrazione istrators. Gli utenti identificati come amministratori di MyService verranno aggiunti al gruppo MyService Amministrazione istrators. Il programma di installazione per MyService può impostare elenchi di controllo di accesso nella directory per abilitare myService Amministrazione istrator autorizzazioni sufficienti per leggere/scrivere attributi correlati a MyService o creare oggetti specifici di MyService, ad esempio.
Ruoli nei gruppi di sicurezza per i computer che eseguono il servizio
Usare i gruppi di sicurezza per definire il set di computer a cui viene concesso l'accesso agli oggetti del servizio nella directory. Ad esempio, il servizio può essere associato a un gruppo Server MyService. Tutti i computer che eseguono il server MyService vengono aggiunti al gruppo Server MyService e a questo gruppo può quindi essere concesso l'accesso a parti della directory in cui i server MyService devono leggere/scrivere dati. Il programma di installazione per MyService può impostare elenchi di controllo di accesso nella directory per abilitare i server MyService autorizzazioni sufficienti per la lettura/scrittura di attributi correlati a MyService o creare oggetti specifici di MyService, ad esempio.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per