Share via

アクセス権の制御(AD DS)

  • [アーティクル]

Active Directory Domain Services のすべてのオブジェクトは、次のように定義されたアクセス権の標準セットをサポートしています。 ADS_RIGHTS_ENUM 列挙. つまり、子オブジェクトの作成と削除、オブジェクト属性の読み書きのような標準的な操作を誰が実行できるかを制御します。 しかし、オブジェクトクラスによっては、標準的なアクセス権ではサポートされない方法でアクセスを制御することが望ましい場合があります。 これを容易にするために、Active Directoryドメインサービスでは、標準のアクセス制御メカニズムを コントロールアクセス右 オブジェクト.

アクセス権の制御には3つの方法がある:

  • 標準のアクセス権セットではカバーされない特別な操作である拡張権について。 たとえば、Exchange、Outlook、またはその他のメール・アプリケーションで使用できる「Send As」権限をユーザー・クラスに付与して、特定のユーザーが自分の代わりに他のユーザーにメールを送信させることができるかどうかを決定することができます。 拡張された権利は コントロールアクセス右 オブジェクトに 有効アクセス数 属性と等しくなるように ADS_RIGHT_DS_CONTROL_ACCESS (256) アクセス権。

  • 個々の属性だけでなく、オブジェクトの属性のサブセットへのアクセスを制御できるように、プロパティセットを定義するため。 標準的なアクセス権を使用して、1つのACEがオブジェクトのすべての属性または単一の属性へのアクセスを許可または拒否することができます。 制御アクセス権は、単一のACEが一連の属性へのアクセスを制御する方法を提供する。 例えば、ユーザクラスは 個人情報 番地や電話番号などの属性を含むプロパティセット。 プロパティーセットの権利は、以下のように設定される。 コントロールアクセス右 オブジェクトに 有効アクセス数 属性に ACTR_DS_READ_PROP (16) そして ACTRL_DS_WRITE_PROP (32) アクセス権。

  • 検証された書き込みの場合、DSオブジェクトの属性に値を書き込む前に、 スキーマで要求されている以上の値チェック、つまり検証を行うことを システムに要求する。 これは、属性に入力された値が要求されるセマンティクスに適合しているか、値の正当な範囲内にあるか、あるいは属性への単純な低レベルの書き込みでは実行されないような他の特別なチェックを受けることを保証します。 有効な書き込みは、"Write "とは異なる特別なパーミッションに関連付けられている。 <属性>" 有効な書き込みは、"Write "とは異なる特別なパーミッションに関連付けられている。 有効な書き込みは、3つの制御アクセス権の中で唯一、アプリケーションの新しい制御アクセス権として作成することができない。 これは、バリデーションを実施するために、既存のシステムをプログラム的に変更することができないためである。 制御アクセス権が有効な書き込みとしてシステムに設定されていた場合 validAccesses 属性で コントロールアクセス右 オブジェクトには ADS_RIGHT_DS_SELF (8) アクセス権。

    Windows 2000 Active Directoryスキーマで定義されている有効な書き込みは3つだけである:

    • グループオブジェクトのセルフメンバーシップパーミッションは、呼び出し元のアカウント(他のアカウントは不可)をグループのメンバーシップに追加または削除することを許可する。
    • ComputerオブジェクトのValidated-DNS-Host-Nameパーミッションで、コンピュータ名とドメイン名に準拠したDNSホスト名属性を設定できる。
    • コンピュータのDNSホスト名に準拠したSPN属性を設定することを許可する。

便宜上、各制御アクセス権は コントロールアクセス右 オブジェクトをコンフィギュレーション・パーティションのExtended-Rightsコンテナに追加する必要があります。 構成コンテナはフォレスト全体に複製されるため、制御権はフォレスト内のすべてのドメインに伝搬されます。 もちろん、カスタムアクセス権も定義できる。

すべての制御アクセス権は、ACL Editorでパーミッションとして見ることができる。

プ ロ パテ ィ セ ッ ト への読み出 し / 書 き込みア ク セ ス を制御す る ために ACE を設定す る 詳 し い情報 と C++ ・ Visual Basic コ ー ド 例については、 以下を参照 し て く だ さ い。 ディレクトリオブジェクトにACEを設定するコード例.

特別なオペレーションへのアクセスを制御するためのアクセス権の制御の詳細については、以下を参照のこと: