Как работает контроль доступа в службах домен Active Directory
Управление доступом для объектов в службах домен Active Directory основано на моделях управления доступом Windows NT и Windows 2000. Дополнительные сведения и подробное описание этой модели и ее компонентов, таких как дескрипторы безопасности, маркеры доступа, siD, списки управления доступом и acEs, см. в разделе контроль доступа Model.
Привилегии доступа для ресурсов в службах домен Active Directory обычно предоставляются с помощью записи управления доступом (ACE). ACE определяет разрешение на доступ или аудит объекта для конкретного пользователя или группы. Список управления доступом (ACL) — это упорядоченная коллекция записей управления доступом, определенных для объекта. Дескриптор безопасности поддерживает свойства и методы, которые создают списки управления доступом и управляют ими. Дополнительные сведения о моделях безопасности см. в разделе "Безопасность " или комплект ресурсов сервера Windows 2000. (Этот ресурс может быть недоступен на некоторых языках и странах или регионах.)
Базовым описанием модели безопасности является:
- Дескриптор безопасности. Каждый объект каталога имеет собственный дескриптор безопасности, содержащий данные безопасности, которые защищают объект. Дескриптор безопасности может содержать список управления доступом (DACL). DaCL содержит список aces. Каждый ACE предоставляет или запрещает набор прав доступа пользователю или группе. Права доступа соответствуют операциям, таким как чтение и запись свойств, которые могут выполняться для объекта.
- Контекст безопасности. При доступе к объекту каталога приложение указывает учетные данные субъекта безопасности, выполняющего попытку доступа. При проверке подлинности эти учетные данные определяют контекст безопасности приложения, который включает членство в группах и привилегии, связанные с субъектом безопасности. Дополнительные сведения о контекстах безопасности см. в разделе "Контексты безопасности" и службы домен Active Directory.
- Доступ проверка. Система предоставляет доступ к объекту только в том случае, если дескриптор безопасности объекта предоставляет необходимые права доступа субъекту безопасности, пытающимся выполнить операцию (или группам, к которым принадлежит субъект безопасности).
В следующей таблице перечислены интерфейсы ADSI, используемые для управления функциями управления доступом служб домен Active Directory.
| Интерфейс | Description |
|---|---|
| IADsSecurityDescriptor | Используется для чтения и записи свойств безопасности объекта службы каталогов. |
| IADsAccessControlList | Используется для управления и перечисления всех acEs для объекта службы каталогов. |
| IADsAccessControlEntry | Используется для чтения и записи свойств ACE. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по