存取控制如何在 Active Directory 網域服務 中運作
Active Directory 網域服務中物件的存取控制是以 Windows NT 和 Windows 2000 個存取控制模型為基礎。 如需此模型及其元件的詳細資訊及其元件,例如安全性描述元、存取權杖、SID、ACL 和 ACE,請參閱存取控制模型。
Active Directory 網域服務中資源的存取許可權通常會透過使用存取控制專案 (ACE) 來授與。 ACE 會針對特定使用者或群組定義物件的存取或稽核許可權。 ACL) (存取控制清單是針對 物件定義的存取控制專案的已排序集合。 安全性描述項支援建立和管理 ACL 的屬性和方法。 如需安全性模型的詳細資訊,請參閱安全性或Windows 2000 伺服器資源套件。 (某些語言和國家/地區可能無法使用此資源。)
安全性模型的基本大綱如下:
- 安全性描述項。 每個目錄物件都有自己的安全性描述元,其中包含保護物件的安全性資料。 安全性描述項可以包含任意存取控制清單, (DACL) 。 DACL 包含 ACE 的清單。 每個 ACE 都會授與或拒絕一組使用者或群組的存取權限。 存取權限會對應至可在 物件上執行的作業,例如讀取和寫入屬性。
- 安全性內容。 存取目錄物件時,應用程式會指定進行存取嘗試的安全性主體認證。 經過驗證時,這些認證會決定應用程式的安全性內容,其中包括與安全性主體相關聯的群組成員資格和許可權。 如需安全性內容的詳細資訊,請參閱安全性內容和Active Directory 網域服務。
- 存取檢查。 只有在物件的安全性描述元授與安全性主體嘗試作業 (或安全性主體) 所屬群組的必要存取權限時,系統才會授與物件的存取權。
下表列出用來操作Active Directory 網域服務存取控制功能的 ADSI 介面。
| 介面 | 描述 |
|---|---|
| IADsSecurityDescriptor | 用來讀取和寫入目錄服務物件的安全性屬性。 |
| IADsAccessControlList | 用來管理和列舉目錄服務物件的所有 ACE。 |
| IADsAccessControlEntry | 用來讀取和寫入 ACE 屬性。 |